Chystá sa najväčšia vlna aktualizácií v histórii platformy? Výrobcovia vstupujú do spoločnej bezpečnostnej aliancie.
Bezpečnostná spoločnosť Zimperium na konferencii Black Hat v Las Vegas demonštrovala doposiaľ najväčšiu chybu v operačnom systéme Android.
Jej objaviteľ, expert a jeden z viceprezidentov spoločnosti Joshua Drake, tak urobil prostredníctvom videa.
MMS-ka, ktorá vás dostane
Ako už je známe z našich predošlých správ , chyba, ktorá dostala pomenovanie Stagefright, funguje viacerými spôsobmi. Zariadenie dokáže nakaziť stiahnutím videa z internetu či navštívením webovej stránky so škodlivým obsahom. Najjednoduchšou cestou je však obyčajná MMS správa.
Demonštrácia bola vykonaná dvomi spôsobmi. S vypnutým, respektíve zapnutým displejom.
Ako môžeme vidieť na videu, práve variant s vypnutým displejom je veľmi obzvlášť nebezpečný. Používateľ totiž nemá ani potuchy, že nejakú správu obdržal. Špeciálna MMS správa sa totiž po zneužití zraniteľnosti a získaní systémových oprávnení dokáže sama zmazať.
To isté je možné aj v prípade so zapnutým displejom. Na ňom sa však najprv zobrazí informácia o prichádzajúcej správe, hoci skôr, ako ju používateľ otvorí, už môže byť minulosťou.
Týka sa aj vás?
Keďže Stagefright zneužíva chybu v rovnomennom systémovom prvku na správu multimédií, ktorý sa v Androide nachádza od verzie 2.2 Froyo , podľa prvotných odhadov sa môžu problémy týkať až 950 miliónov zariadení.
Vzhľadom k týmto číslam Zimperium vydalo špeciálnu aplikáciu , ktorá je určená na identifikáciu výskytu zraniteľnosti v systéme. Dostupná je zadarmo prostredníctvom Obchodu Play.
Väčšina zariadení by mala vykázať pozitívny nález
Problémové MMS? Zakážte ich
Na infikovanie smartfónu prostredníctvom webu či stiahnutého videa je potrebná interakcia používateľa . To však v prípade MMS neplatí, preto je ich problematika obzvlášť citlivá.
Samsung preto vydal špeciálnu aplikáciu, pomocou ktorej môžu majitelia jeho smartfónov zakázať využívanie MMS na zariadení. Priamo ju môžete stiahnuť na tomto odkaze .
K zaujímavému kroku pristúpil aj operátor Deutsche Telekom. Ten totiž oznámil, že celoplošne ruší automatické prijímanie MMS správ . Jeho zákazníkom tak do smartfónov príde len klasická SMS, informujúca o doručenej správe, ktorú si môže používateľ prezrieť prostredníctvom webu.
Opatrenie je preventívne a stiahnuté bude hneď, ako sa situácia okolo Stagefright upokojí.
Na záplatách sa pracuje
Výrobcovia Android zariadení už medzi tým pracujú na záplatách. Ako prví sa dočkali majitelia Nexus telefónov od Googlu a viacerých amerických zariadení zo série Galaxy od Samsungu.
10. augusta by sa mali dočkať aj majitelia Idol 3 od Alcatelu. Čo najrýchlejšiu aktualizáciu prisľúbilo aj LG, HTC a Sony. Prísť by mali ešte v auguste. Môžeme očakávať, že podobného kroku sa dočkáme aj od ďalších výrobcov.
Google a Samsung navyše spúšťajú špecializované programy, ktoré ich zariadeniam prinesú pravidelné bezpečnostné aktualizácie na mesačnej báze.
Google: Nie je to také vážne
Vývojár Googlu Adrian Ludwig, zaoberajúci sa bezpečnosťou Androidu, sa už pred týždňom snažil situáciu upokojiť. Väčšina odhalených zraniteľností sa podľa neho v praxi nedá využiť. Operačný systém od Googlu navyše disponuje ochranou, ktorá má zneužitiam zabrániť.
V tomto prípade hovoríme najmä o ASLR (Address Space Layout Randomization). Teda o ochrane, ktorá útočníkovi sťažuje zameranie funkcie, ktorú chce zneužiť, v pamäti zariadenia.
Ani táto metóda, implementovaná v Androide od verzie 4.0 Ice Cream Sandwich, však nie je riešením problému. Chyba Stagefright razenia si vyžaduje komplexnejšiu záplatu , ktorou však Google už dlhšiu dobu disponuje.
Hey guys! Instead of redoing/reproducing my work, why don't you see if you can bypass ASLR via Stagefright! — Joshua J. Drake (@jduck) 3. Srpen 2015
„Nikto si nemyslí, že sú tieto opatrenia perfektné. Avšak jednoznačne získajú čas výrobcom , kým stihnú vydať záplaty,“ uviedol Ludwig pre The Verge. Zároveň upozornil , že aj kvôli zásahom používateľov do systému (root) a inštalovaniu aplikácií z neoverených zdrojov platforma nikdy nebude úplne bezpečná.
Približne 0,5 % zariadení vraj disponuje škodlivou aplikáciou: „Nepredpokladáme, že pri ekosystéme veľkosti Androidu bude niekedy toto číslo nula.“
Vyrieši to aliancia
Najväčším problémom mobilnej platformy Googlu je jej roztrieštenosť . Teda príliš veľa verzií systému, bežiacich na veľkom množstve zariadení s rôznym hardvérom a vo väčšine aj samostatnými softvérovými úpravami od jednotlivých výrobcov.
Pripraviť záplatu pre každý alebo aspoň väčšinu smartfónov na trhu, je tak zložité. Práve z tohto dôvodu však spomínaná bezpečnostná spoločnosť 1. augusta založila novú alianciu výrobcov – Zimperium Handset Alliance.
Údajne sa do nej za posledných pár dní prihlásilo až 25 veľkých výrobcov . Cieľom novej iniciatívy je zdieľanie informácií o nových hrozbách, ktoré povedú k rýchlejším aktualizáciám zariadení koncových zákazníkov.
Dá sa povedať, že v týchto dňoch začína najväčšia vlna aktualizácií, akú platforma Android kedy zažila. Záplatu by mali dostať milióny zariadení. „Každé zariadenie, o akom som kedy počul, dostane OTA aktualizáciu,“ vyjadril sa na adresu najbližších troch týždňov Ludwig.
Ďakujeme, že ste verní Živé.sk
Sme radi, že vyhľadávate relevantné informácie z technologického sveta práve u nás. Podporujte tvorbu nášho exkluzívneho obsahu a získajte prístup na celý rok s 50 % zľavou!
 "VIDEO: Historický moment. Hokejová eufória na Spiši dospela do finále: Posunuli sme náš klub | Šport.sk")
