„Strach na scenie” BSI ostrzega przed lukami w zabezpieczeniach systemu Android

„Strach na scenie” BSI ostrzega przed lukami w zabezpieczeniach systemu Android

Mówi się, że luka w zabezpieczeniach systemu operacyjnego Android firmy Google zagraża milionom smartfonów. Podatny jest interfejs multimedialny „Stagefright” („strach sceniczny”), za pomocą którego osoby atakujące mogą przemycać złośliwy kod do zaatakowanych urządzeń przenośnych za pomocą zmanipulowanych wiadomości multimedialnych. Według Federalnego Urzędu Bezpieczeństwa Informacji (BSI) obecnie nie widać rozwiązania tego problemu.

Jak chronić swój smartfon z Androidem

Jeśli atakującym uda się zainfekować smartfon złośliwym kodem, mogą wykraść dane, nagrać dźwięk i wideo lub uzyskać dostęp do przechowywanych zdjęć. Tak wyjaśnił specjalista ds. bezpieczeństwa Joshua Drake. Rzeczywisty atak jest prosty: „Atakujący potrzebują tylko numeru Twojego telefonu komórkowego, aby uruchomić program z zewnątrz, który wysyłają za pomocą specjalnie przygotowanej wiadomości multimedialnej” – napisał Drake i jego zespół w Zimperium, firmie specjalizującej się w bezpieczeństwie urządzeń mobilnych.

Luki są bardzo niebezpieczne

Te luki są bardzo niebezpieczne, ponieważ można je wykorzystać bez interwencji ofiar. Ofiary nie musiałyby nawet odtwarzać wideo z wiadomości MMS. Wystarczy spojrzeć na wiadomość, aby złośliwy kod został zainstalowany, poinformował Drake amerykańskiemu magazynowi „Forbes”.

Hakerzy mogą przejść od oprogramowania multimedialnego do urządzenia, ostrzegł Drake. Zależy to od tego, jak ściśle poszczególni producenci zabezpieczyli interfejs multimedialny lub czy można za jego pośrednictwem uzyskać szeroki dostęp do urządzenia.

Infekcja pozostaje niezauważona

W pewnych okolicznościach właściciele telefonów komórkowych nawet nie zauważyliby zmanipulowanej wiadomości: złośliwy kod mógł zostać wykonany, zanim powiadomienie pojawi się na wyświetlaczu. Dotyczy to wszystkich urządzeń z systemem operacyjnym Android od wersji 2.2, która pojawiła się w 2010 roku. Ryzyko jest szczególnie wysokie w przypadku urządzeń z wariantami Androida starszymi niż wersja 4.1, wyjaśnił Drake.

Google mówi tylko o teoretycznym niebezpieczeństwie

Wielu producentów początkowo nie zapewniało żadnych środków zaradczych. Firma antywirusowa zaleciła użytkownikom wyłączenie automatycznego odbierania wiadomości MMS. Wtedy wiadomości ze złośliwym kodem nie byłyby ładowane bezpośrednio.

Google zaważyło i stwierdziło, że luka została „zidentyfikowana w warunkach laboratoryjnych na starszych urządzeniach z Androidem”. „O ile wiemy, nikt nie jest dotknięty” – powiedziała firma. Stoi to w wyraźnym kontraście do wypowiedzi Drake'a, który szacuje, że przez dziurę podatne są setki milionów urządzeń.

Brakujące aktualizacje centralne

Dla milionów posiadaczy telefonów i tabletów z Androidem nie ma centralnej aktualizacji, która chroniłaby ich przed luką. Google wysłał aktualizację zabezpieczeń do producentów urządzeń z Androidem. Ale producenci telefonów komórkowych mogą sami decydować, czy, kiedy i jak przekazywać aktualizacje swoim klientom. Jedynie w przypadku urządzeń Nexus, które Google buduje samodzielnie, luka powinna zostać wypełniona w tym tygodniu. Producent HTC powiedział Forbesowi, że luka powinna zostać zamknięta w przyszłych wypuszczanych urządzeniach.

Federalny Urząd ds. Bezpieczeństwa Informacji zaleca właścicielom telefonów komórkowych ze starszymi wersjami Androida aktualizację do wersji 4.1 lub nowszej. Jeśli nie jest to możliwe, klienci powinni skontaktować się z producentem „aby zapytać o dostępność aktualizacji zabezpieczeń”.

Więcej ekscytujących tematów cyfrowych znajdziesz tutaj.

Tags
Author
Karolina Kanas

Leave a Reply