Новий експлойт Stagefright може налякати мільйони користувачів Android

Якщо ви є власником Android, важливо стежити за тим, щоб ваш пристрій завжди був в актуальному стані, не тільки для того, щоб ви могли скористатися чудовими можливостями, які Google постійно додає в операційну систему, але і для того, щоб не залишатися вразливим до небезпечних багів. Приклад: Stagefright.

Дослідники безпеки продемонстрували експлуатацію багу Stagefright, використовуючи його для віддаленого злому телефону Android, що може бути зроблено з мільйонами інших пристроїв Android. Злом був нещодавно описаний у звіті Wired, і дозволив би хакерам отримати повний доступ до файлів пристрою, які вони могли б скопіювати або видалити, а також доступ до камери і мікрофону.

Баг був зламаний дослідницькою фірмою з безпеки NorthBit, яка заявила, що вона “правильно” зламала баг, який був описаний як “найгірший з коли-небудь виявлених”. Злом, який використовувала команда, називається Metaphor, і він був продемонстрований у відеоролику з використанням Google Nexus 5, однак, як повідомляється, команда також зламала такі пристрої, як LG G3, HTC One і Samsung Galaxy S5, що лякає.

• Підступне оновлення iOS змусило мене знову зрадіти iPhone 14 Pro
• Що таке оперативна пам’ять? Ось все, що вам потрібно знати
• Щойно придбали новий iPhone? Ось 12 порад і підказок, як його освоїти

Хоча Google пообіцяв регулярні оновлення безпеки після того, як Stagefright, а пізніше Stagefright 2.0, був вперше виявлений, схоже, що не всі версії Android були виправлені ще тільки зараз. Команда змогла зламати пристрої під управлінням Android 2.2, 4.0, 5.0 та 5.1. На щастя, інші версії Android, схоже, не постраждали від цієї проблеми. Звичайно, це мало втішає, коли колосальні 36 відсотків пристроїв Android працюють під управлінням Android 5.0 або 5.1, залишаючи мільйони і мільйони користувачів відкритими для злому. В основному, вразливими до злому є ті, на яких не встановлені останні оновлення безпеки.

Stagefright – це програмна бібліотека, яка написана на мові С++ та входить до складу Android. Вона може бути використана, коли на відповідний пристрій надсилається MMS-повідомлення з відеофайлом, і якщо відео було закодовано певним чином, то воно може бути використане для активації шкідливого коду. Пізніше був виявлений Stagefright 2.0, який робив те ж саме, але використовував проблеми в mp3 і mp4 файлах. Google почав випускати патчі для цієї помилки, однак, схоже, що компанія ще не випустила патчі для всіх версій Android.

Перегляньте відео нижче, щоб побачити, як Stagefright експлуатується на Google Nexus 5.

Метафора – Експлуатація Stagefright порушує ASLR

Оновлено 26.03.2016 Крістіаном де Лупером: Роз’яснено, до чого Stagefright дозволяє хакерам отримати доступ.

Рекомендації редакції

• Samsung Galaxy S23: дата виходу, технічні характеристики, ціна, чутки і новини
• Як iPhone 14 Plus став одним з найбільших технологічних провалів 2022 року
• 7 важливих порад, як підготувати новий Apple Watch до носіння на зап’ясті
• Як налаштувати новий телефон Samsung Galaxy як професіонал
• У 2023 році Apple повинна виправити свій ганебний ліміт в 5 ГБ iCloud

Source: digitaltrends.com