K hacknutí 95 % Android smartphonů a tabletů stačí jediná MMSka

Že jsou v Androidu bezpečnostní díry, kterých se dá využít, víme všichni. Ale tentokrát přišla opravdu krutá rána. Vědci odhalili chybu, díky níž se mohou hackeři dostat do 95 % všech Android smartphonů a tabletů a stačí jim k tomu jediná MMSka.

O problému se rozpovídal viceprezident Zimperium zLabs Joshua J. Drake. Chybu objevili v jedné z knihovny médií, kterou Android používá pro zobrazování a čtení běžných formátů (např. PDF), knihovna se jmenuje Stagefright.

„V důsledku narychlo psaného kódu existuje v zařízeních se systémem Android řada bezpečnostních chyb. Jedna část softwaru, zvaná Stagefright, obsahuje chyby, které umožní útočníkům odeslat malware přímo na jakékoliv zařízení, když znají telefonní číslo,“ vysvětlil Drake.

stagefright_v2_breakdown-e1438001259526-1024x266

Jakých telefonů se nebezpečí týká

Nebezpečí hrozí všem smartphonům nebo tabletům se systémem Android 2.2 nebo novějším. Podle Zimperium zLabs to znamená, že je v současné době k útoku náchylných více než 950 milionů zařízení.

Jak probíhá hacknutí

Celá záležitost je o to horší, že hacker k instalaci malwaru do vašeho zařízení nepotřebuje vůbec nic kromě telefonního čísla. Z vaší strany není třeba žádná interakce, žádné potvrzení, přečtení zprávy, otevření přílohy, nic takového. Hacker jen pošle multimediální soubor přes MMS zprávu, zatímco vy spíte nebo se díváte na televizi.

Jakmile se malware dostane do vašeho zařízení, hacker získá řadu pravomocí. Bude mít přístup k mnoha aplikacím a třeba i k fotoaparátu, takže vás může špehovat.

Cat1-1024x534

Škodlivá MMS zpráva může přijít třeba přes Hangouts nebo jinou komunikační aplikaci a vy si ničeho nevšimnete

Kdy se to opraví

Celý svět má štěstí, že údajně ještě žádný hacker téhle díry nevyužil. Přestože se o Stagefright aktuálně začíná mluvit, nikdo veřejně nesdělil, jak přesně by hackeři měli postupovat, aby chybu mohli využít. Know-how zůstane tajemstvím, pokud jej nějaký hacker nestihne odhalit do doby, než bude díra zacelena. Na tom se prý už pracuje.

Výrobci jsou většinou ve vydávání záplat dost líní, ale například HTC uvedlo, že začnou záplatu implementovat do svých řešení ještě v červenci. Nexus se opravy dočká příští týden v pravidelné aktualizaci zabezpečení. A zbytek telefonů? Čas ukáže. Uvidíme, zda budou rychlejší výrobci s opravami nebo hackeři.

Komentáře

Nahoru