Android's Stagefright Exploit Hvad du skal vide, og hvordan man beskytter dig selv
Android har en massiv sikkerhedsfejl i en komponent kendt som "Stagefright." Bare modtagelse af en ondsindet MMS-besked kan resultere i, at din telefon bliver kompromitteret. Det er overraskende, vi har ikke set en orm spredning fra telefon til telefon som orme gjorde i de tidlige Windows XP dage - alle ingredienserne er her.
Det er faktisk lidt værre end det lyder. Medierne har i høj grad fokuseret på MMS-angrebsmetoden, men endda MP4-videoer, der er indlejret i websider eller apps, kan true din telefon eller tablet.
Hvorfor Stagefright-fejlen er farlig - det er ikke bare MMS
Nogle kommentatorer har kaldt dette angreb "Stagefright", men det er faktisk et angreb på en komponent i Android, der hedder Stagefright. Dette er en multimedieafspillerkomponent i Android. Det har en sårbarhed, der kan udnyttes - mest farligt via en MMS, som er en SMS med indlejrede multimediekomponenter.
Mange Android-telefonproducenter har uomtvisteligt valgt at give Stagefright system tilladelser, hvilket er et trin under root access. Udnyttelse af Stagefright gør det muligt for en hacker at køre kode med enten "media" eller "system" tilladelser afhængigt af hvordan enheden er konfigureret. System tilladelser ville give angriberen grundlæggende fuldstændig adgang til deres enhed. Zimperium, organisationen der opdagede og rapporterede problemet, tilbyder flere detaljer.
Typiske Android-beskeder til tekstbeskeder henter automatisk indgående MMS-beskeder. Det betyder, at du kan blive kompromitteret, bare ved at nogen sender dig en besked via telefonnetværket. Med din telefon kompromitteret, kan en orm, der bruger denne sårbarhed, læse dine kontakter og sende ondsindede MMS-beskeder til dine kontakter og sprede sig som en brand, som Melissa-viruset kom tilbage i 1999 ved hjælp af Outlook og e-mail-kontakter.
Indledende rapporter fokuseret på MMS, fordi det var den mest potentielt farlige vektor Stagefright kunne drage fordel af. Men det er ikke bare MMS. Som Trend Micro påpegede, er denne sårbarhed i komponenten "mediaserver", og en ondsindet MP4-fil, der er indlejret på en webside, kan udnytte den - ja bare ved at navigere til en webside i din webbrowser. En MP4-fil, der er indlejret i en app, der ønsker at udnytte din enhed, kunne gøre det samme.
Er din Smartphone eller Tablet Sårbar?
Din Android-enhed er sandsynligvis sårbar. Femoghalvfems procent af Android-enhed i naturen er sårbar over for Stagefright.
For at kontrollere, skal du installere Stagefright Detector App fra Google Play. Denne app blev lavet af Zimperium, som opdagede og rapporterede Stagefright sårbarheden. Det vil tjekke din enhed og fortælle dig, om Stagefright er blevet patched på din Android-telefon eller ej.
Sådan forhindrer du angrebsangreb, hvis du er sårbar
Så vidt vi ved, gemmer Android-antivirusprogrammer dig ikke fra Stagefright-angreb. De har ikke nødvendigvis tilstrækkelige systemtilladelser til at opfange MMS-meddelelser og forstyrre systemkomponenter. Google kan heller ikke opdatere Google Play Services-komponenten i Android for at rette op på denne fejl, en lappeløsning, som Google ofte anvender, når sikkerhedshuller dukker op.
For virkelig at forhindre dig i at blive kompromitteret, skal du forhindre, at din messaging app vælger at downloade og starte MMS-beskeder. Generelt betyder det at deaktivere indstillingen "MMS automatisk hentning" i dens indstillinger. Når du modtager en MMS-besked, downloades den ikke automatisk - du skal downloade den ved at trykke på en pladsholder eller noget lignende. Du vil ikke være i fare, medmindre du vælger at downloade MMS.
Du bør ikke gøre dette. Hvis MMS'en er fra en person, du ikke kender, ignorerer du det absolut. Hvis MMS'en er fra en ven, ville det være muligt, at deres telefon er blevet kompromitteret, hvis en orm begynder at starte. Det er sikkert at aldrig hente MMS-beskeder, hvis din telefon er sårbar.
Hvis du vil deaktivere automatisk hentning af MMS-beskeder, skal du følge de relevante trin for din messaging-app.
- Beskeder (indbygget i Android): Åbn Beskeder, tryk på menuknappen og tryk på Indstillinger. Rul ned til "Multimedia (MMS) meddelelser" sektionen og fjern markeringen "Auto-retrieve."
- budbringer (af Google): Åbn Messenger, tryk på menuen, tryk på Indstillinger, tryk på Avanceret, og deaktiver "Automatisk hentning."
- Hangouts (af Google): Åbn Hangouts, tryk på menuen og navigér til Indstillinger> SMS. Fjern markeringen for "Automatisk hentning af SMS" under Avanceret. (Hvis du ikke kan se SMS-indstillinger her, bruger din telefon ikke Hangouts til SMS. Deaktiver indstillingen i den SMS-app, du bruger i stedet.)
- Beskeder (af Samsung): Åbn Beskeder og naviger til Mere> Indstillinger> Flere indstillinger. Tryk på MMS-beskeder, og deaktiver indstillingen "Automatisk hentning". Denne indstilling kan være anderledes på forskellige Samsung-enheder, som bruger forskellige versioner af appen Beskeder.
Det er umuligt at opbygge en komplet liste her. Du skal bare åbne den app, du bruger til at sende sms'er (tekstbeskeder) og søge efter en indstilling, der deaktiverer "automatisk hentning" eller "automatisk download" af MMS-beskeder..
Advarsel: Hvis du vælger at downloade en MMS-besked, er du stadig sårbar. Og da sårbarheden ikke er bare et MMS-besked, vil det ikke helt beskytte dig mod enhver form for angreb.
Hvornår har din telefon fået en patch?
I stedet for at forsøge at arbejde rundt om fejlen, ville det være bedre, hvis din telefon netop modtog en opdatering, der fik den rettet. Desværre er Android-opdateringssituationen i øjeblikket et mareridt. Hvis du har en nylig flagskibs telefon, kan du nok forvente en opgradering på et tidspunkt - forhåbentlig. Hvis du har en ældre telefon, især en nedre telefon, er der en god chance for, at du aldrig vil modtage en opdatering.
- Nexus-enheder: Google har nu udgivet opdateringer til Nexus 4, Nexus 5, Nexus 6, Nexus 7 (2013), Nexus 9 og Nexus 10. Den originale Nexus 7 (2012) er tilsyneladende ikke længere understøttet og vil ikke blive patched
- Samsung: Sprint er begyndt at skubbe opdateringer til Galaxy S5, S6, S6 Edge og Note Edge. Det er uklart, når andre luftfartsselskaber presser disse opdateringer ud.
Google fortalte også Ars Technica, at "de mest populære Android-enheder" ville få opdateringen i august, herunder:
- Samsung: Galaxy S3, S4 og Note 4, ud over telefonerne ovenfor.
- HTC: One M7, One M8 og One M9.
- LG: G2, G3 og G4.
- Sony: Xperia Z2, Z3, Z4 og Z3 Compact.
- Android One enheder understøttet af google
Motorola har også annonceret, at det vil patchere sine telefoner med opdateringer fra august, herunder Moto X (1. og 2. generation), Moto X Pro, Moto Maxx / Turbo, Moto G (1., 2. og 3. generation), Moto G med 4G LTE (1. og 2. generation), Moto E (1. og 2. generation), Moto E med 4G LTE (2. generation), DROID Turbo og DROID Ultra / Mini / Maxx.
Google Nexus, Samsung og LG har alle forpligtet sig til at opdatere deres telefoner med sikkerhedsopdateringer en gang om måneden. Men dette løfte gælder kun for flagskibstelefoner og ville kræve, at luftfartsselskaber samarbejder. Det er uklart, hvor godt det ville fungere. Bærere kunne potentielt stå i vejen for disse opdateringer, og det lader stadig et stort antal - tusindvis af forskellige modeller - af ibrugtagne telefoner uden opdateringen.
Eller bare installer CyanogenMod
CyanogenMod er en tredjeparts brugerdefineret ROM af Android, der ofte bruges af entusiaster. Det bringer en aktuel version af Android til enheder, som producenterne har stoppet med at understøtte. Dette er ikke rigtig den ideelle løsning for den gennemsnitlige person, da det kræver at låse op for din mobilens bootloader. Men hvis din telefon understøttes, kan du bruge dette trick til at få en aktuel version af Android med aktuelle sikkerhedsopdateringer. Det er ikke en dårlig idé at installere CyanogenMod, hvis din telefon ikke længere understøttes af producenten.
CyanogenMod har rettet sårbarheden Stagefright i de natlige versioner, og reparationen skal gøre den til den stabile version snart via en OTA-opdatering.
Android har et problem: De fleste enheder får ikke sikkerhedsopdateringer
Dette er blot en af de mange sikkerhedshuller, som gamle Android-enheder bygger op, desværre. Det er bare en særlig dårlig, der får mere opmærksomhed. Størstedelen af Android-enheder - alle enheder, der kører Android 4.3 og ældre - har f.eks. En sårbar webbrowser-komponent. Dette bliver aldrig patched, medmindre enhederne opgraderer til en nyere version af Android. Du kan hjælpe dig med at beskytte dig selv ved at køre Chrome eller Firefox, men den sårbare browser vil altid være på disse enheder, indtil de er udskiftet. Producenter er ikke interesserede i at holde dem opdaterede og vedligeholdt, hvorfor mange har henvendt sig til CyanogenMod.
Google, Android-enhedsproducenter og mobiloperatører skal have deres handling i orden, som den nuværende metode til opdatering - eller rettere ikke opdatering - Android-enheder fører til et Android-økosystem med enheder, der bygger huller over tid. Det er derfor, at iPhones er mere sikre end Android-telefoner - iPhones får faktisk sikkerhedsopdateringer. Apple har forpligtet sig til at opdatere iPhones i længere tid end Google (kun Nexus-telefoner), Samsung og LG kommer til at opgradere deres telefoner også.
Du har sikkert hørt, at ved hjælp af Windows XP er det farligt, fordi det ikke længere opdateres. XP vil fortsætte med at opbygge sikkerhedshuller over tid og blive mere og mere sårbare. Nå bruger de fleste Android-telefoner på samme måde - de modtager heller ikke sikkerhedsopdateringer.
Nogle udnyttelsesbekæmpelser kan medvirke til at forhindre en Stagefright orm at overtage millioner af Android-telefoner. Google hævder, at ASLR og andre beskyttelser på nyere versioner af Android bidrager til at forhindre, at Stagefright bliver angrebet, og det ser ud til at være delvist sandt.
Nogle cellulære bærere synes også at blokere potentielt skadelig MMS-besked i deres ende, hvilket forhindrer dem i at nå ud til sårbare telefoner. Dette ville medvirke til at forhindre en orm i at sprede sig via MMS-beskeder, i det mindste på operatører, der handler.
Billedkredit: Matteo Doni på Flickr