Насколько опасна уязвимость, позволяющая атаковать Android через mp3-файлы?

Александр
На этой неделе компания Zimperium, занимающаяся вопросами безопасности, опубликовала отчет об очередной уязвимости в Android, которая получила название StageFright 2.0. Она теоретически позволяет злоумышленнику запускать удаленный код на устройстве, на которое был загружен файл формата mp3 или mp4.

Что за StageFright 2.0?

Злоумышленник может спрятать вредоносный код в метаданные к mp3- или mp4-файлу. Такие файлы могут распространяться на пиратских сайтах, и если пользователь включит «зараженную» песню или запустит видео, вирус, содержащийся в метаданных, будет запущен, а хакер через открывшуюся уязвимость, сможет без ведома пользователя удаленно исполнять на его устройстве любые команды. Google присвоила обнаруженной Zimperium уязвимости номера CVE-2015-3876 и CVE-2015-6602.

Какие устройства подвержены уязвимости?

Смартфоны, планшеты и прочие устройства, работающие на Android от версии 1.0 до версии 5.1.1. Теоретически хакеры могут взломать 100% Android-устройств.

А что на практике?

В действительности ни одно Android-устройство не подверглось атаке с использованием StageFright 2.0. Компания Zimperium не станет выкладывать подробную инструкцию с демонстрацией работы этой уязвимости, хотя предоставила ее Google.

И что сделала Google?

В этом месяце устройства Nexus получат патчи, устраняющие некоторые уязвимости, в том числе StageFright 2.0. На анонсированные на этой неделе смартфоны Nexus 5X и Nexus 6P установлена версия Android, в которую уже включены эти патчи.

Google также отправила патчи другим производителям смартфонов и планшетов, но далеко не все из них добросовестно относятся к постпродажной поддержке своих устройств. В прошлый раз уязвимость StageFright 1.0 была устранена только в новых моделях Samsung, HTC, Motorola, в некоторых устройствах Asus, Alcatel, Nvidia и в смартфоне OnePlus One.

Как избежать проблем?

До тех пор, пока производитель вашего устройства не выпустит очередное обновление безопасности (что может никогда не случиться), следует избегать посещения сомнительных сайтов и скачивания музыки и видео из непроверенных источников.

Все настолько плохо?

Уязвимости StageFright действительно опасные, но паниковать пока рано. Как только хакеры поймут, как их можно использовать — можно начинать волноваться. Зараженными потенциально могут оказаться более миллиарда устройств по всему миру.
0

Будь в курсе последних новостей из мира гаджетов и технологий

Мы в соцсетях

Комментарии

+47
работает-не работает никто не знает точно, как использовать тоже )) зато нагнали ужасов на всех ))) и самое главное, еще ни одно устройство не заражено ... делаем выводы!
2 октября 2015 в 12:09
#
+90
Это рядовой вопрос безопасности любой операционной системы, зачем это преподносить таким образом?!

Сообщение отправлено из мобильного приложения iGuides
2 октября 2015 в 12:25
#
+232
СпецСлужбы явно расстроятся :-(
Такую их лазейку нашли.
Так сказать самая лёгкая и простая доступность на более 70% (вроде) устройств :-)
Какая прелесть. :-)

Сообщение отправлено из мобильного приложения iGuides
2 октября 2015 в 13:27
#
+36
Да сколько каждый день находят уязвимостей?! И тут же отправляют багрепорты. Сотни. Тут, очевидно, ресёрч группа просто захотела заявить о себе.

Сообщение отправлено из мобильного приложения iGuides
2 октября 2015 в 19:26
#
+15
На Сони залатали уже

Сообщение отправлено из мобильного приложения iGuides
4 октября 2015 в 17:42
#