На этой неделе компания Zimperium, занимающаяся вопросами безопасности, опубликовала отчет об очередной уязвимости в Android, которая получила название StageFright 2.0. Она теоретически позволяет злоумышленнику запускать удаленный код на устройстве, на которое был загружен файл формата mp3 или mp4.
Что за StageFright 2.0?
Злоумышленник может спрятать вредоносный код в метаданные к mp3- или mp4-файлу. Такие файлы могут распространяться на пиратских сайтах, и если пользователь включит «зараженную» песню или запустит видео, вирус, содержащийся в метаданных, будет запущен, а хакер через открывшуюся уязвимость, сможет без ведома пользователя удаленно исполнять на его устройстве любые команды. Google присвоила обнаруженной Zimperium уязвимости номера CVE-2015-3876 и CVE-2015-6602.
Какие устройства подвержены уязвимости?
Смартфоны, планшеты и прочие устройства, работающие на Android от версии 1.0 до версии 5.1.1. Теоретически хакеры могут взломать 100% Android-устройств.
А что на практике?
В действительности ни одно Android-устройство не подверглось атаке с использованием StageFright 2.0. Компания Zimperium не станет выкладывать подробную инструкцию с демонстрацией работы этой уязвимости, хотя предоставила ее Google.
И что сделала Google?
В этом месяце устройства Nexus получат патчи, устраняющие некоторые уязвимости, в том числе StageFright 2.0. На анонсированные на этой неделе смартфоны Nexus 5X и Nexus 6P установлена версия Android, в которую уже включены эти патчи.
Google также отправила патчи другим производителям смартфонов и планшетов, но далеко не все из них добросовестно относятся к постпродажной поддержке своих устройств. В прошлый раз уязвимость StageFright 1.0 была устранена только в новых моделях Samsung, HTC, Motorola, в некоторых устройствах Asus, Alcatel, Nvidia и в смартфоне OnePlus One.
Как избежать проблем?
До тех пор, пока производитель вашего устройства не выпустит очередное обновление безопасности (что может никогда не случиться), следует избегать посещения сомнительных сайтов и скачивания музыки и видео из непроверенных источников.
Все настолько плохо?
Уязвимости StageFright действительно опасные, но паниковать пока рано. Как только хакеры поймут, как их можно использовать — можно начинать волноваться. Зараженными потенциально могут оказаться более миллиарда устройств по всему миру.
+47