Видео: Джо Кован: Как я преодолел страх перед сценой (Септември 2024)
Преминете над Heartbleed, има нова зловеща цифрова заплаха, която има потенциал да обхване стотици милиони хора. Тя се нарича Stagefright, а общността за информационна сигурност се опасява, че 950 милиона телефони с Android са изложени на риск да се поддадат на експлоатацията.
Въпреки че повечето хакове за Android поне изискват жертви да направят някаква грешка, като например да бъдат подмамени в изтеглянето на зловреден софтуер, уязвимостта на Stagefright вече може да бъде на близо милиард Android телефони, независимо от това какво правят потребителите. И какъв е истинският виновник зад тази уязвимост (освен хакерите разбира се)? Текущият проблем с фрагментацията на Android.
Счупете крак
Според израелската компания за мобилна сигурност Zimperium е плашещо лесно Stagefright да заразява телефона ви. Вината е наскоро открит недостатък в отворения код на медийната библиотека с отворен код, който позволява на нападателите да изпълняват код на вашето устройство само като ви изпращат текстово съобщение. Уязвимостта на Stagefright може да се използва за поставяне на телефон и неговите данни на милост на нападател. Контакти, камера, микрофон и снимки са под контрола на хакера. Отново всичко това може да се случи напълно под носа ви. Няма външни признаци, че нарушението настъпва.
Има няколко начина да се предпазите от Stagefright. В приложението Hangouts отворете Настройки, изберете SMS, направете Hangouts приложението по подразбиране за SMS и премахнете отметката от квадратчето за „Автоматично изтегляне на MMS“. Сега можете да екранирате входящи MMS съобщения и да избегнете изтегляне на нещо подозрително. Но макар това да трайно да предотврати тайните нападения, това не е цялостно решение. Все още можете случайно да прочетете злонамерен текст в обикновено приложение за SMS.
За визуално обяснение, разгледайте тази диаграма от Checkmarx, компания, която предоставя анализ на сигурността на кода, за да се уверите, че мобилните приложения в разработка са безопасни от експлоатации като Stagefright.
Разделяне на личността
За съжаление, най-глупавите начини да попречат на нападателите да експлоатират Stagefright са извън обсега на голяма част от собствениците на Android. Ако имате телефон на Google Nexus или друго устройство с Android, вероятно вече сте получили актуализация, която смазва експлоатацията. Ако обаче телефонът ви няма достъп до най-новите актуализации, ще останете уязвим кой знае колко дълго. Не можете да направите нищо. Достатъчно е да накарате да искате да стартирате телефона си и сами да отстраните проблема. Или купете iPhone.
Stagefright е опасен, но също така е разочароващ, защото няма причина той да е станал такъв мащабен риск. Макар че би било хубаво, ако уязвимостта беше открита и се справи с по-ранна разработка, поне Google бързо издаде кръпка за грешката. Въпреки това, тъй като Android е толкова фрагментиран, с толкова много различни устройства, работещи със собствена леко омагьосана версия на мобилната операционна система, безброй потребители няма да бъдат безопасни, докато коригирането не се сблъска с тях чрез летаргичните производители на хардуер, ако те дори получат поправете изобщо. Можете да спорите, че отвореността на Android му дава свободи и предимства, които липсват iOS, но това е случай, при който най-доброто нещо за всички би било Google да има повече контрол върху своята платформа.
Stagefright със сигурност ще получи известно внимание в Black Hat следващата седмица. За повече информация за предстоящата конференция за компютърна сигурност не забравяйте да четете PCMag.com.
