Innehållsförteckning:
- Vad är Stagefright 2.0?
- Påverkas min telefon eller surfplatta?
- Vad gör Google med det här?
- Hur håller jag mig säker tills plåstret anländer till min telefon eller surfplatta?
- Är detta världens slut?
De senaste månaderna har varit fyllda med mycket osäkerhet kring en serie frågor populärt benämnda Stagefright, ett namn som tjänas på eftersom de flesta av de problem som hittades har att göra med libstagefright i Android. Säkerhetsföretaget Zimperium har publicerat vad de kallar Stagefright 2.0, med två nya problem kring mp3- och mp4-filer som kan manipuleras för att köra skadlig kod på din telefon.
Här är vad vi vet hittills, och hur du kan skydda dig själv.
Vad är Stagefright 2.0?
Enligt Zimperium gör ett par nyligen upptäckta sårbarheter det möjligt för en angripare att presentera en Android-telefon eller surfplatta med en fil som ser ut som en MP3 eller MP4, så när metadata för den filen förhandsvisas av operativsystemet kan den filen köras skadlig kod. I händelse av en Man in the Middle-attack eller en webbplats byggd specifikt för att leverera dessa missbildade filer kan denna kod köras utan att användaren någonsin veta det.
Zimperium påstår sig ha bekräftat fjärrkontroll och väckte detta till Googles 15. augusti. Som svar tilldelade Google CVE-2015-3876 och CVE-2015-6602 till paret av rapporterade problem och började arbeta med en fix.
Påverkas min telefon eller surfplatta?
På ett eller annat sätt, ja. CVE-2015-6602 hänvisar till en sårbarhet i libutils, och som Zimperium påpekar i sitt inlägg att de meddelade upptäckten av denna sårbarhet påverkar det alla Android-telefoner och surfplattor som går tillbaka till Android 1.0. CVE-2015-3876 påverkar varje Android 5.0 och högre telefon eller surfplatta och kan teoretiskt levereras via webbplats eller man i mittenattacken.
DOCK.
Det finns för närvarande inga offentliga exempel på att denna sårbarhet någonsin har använts för att utnyttja någonting utanför laboratorieförhållandena, och Zimperium planerar inte att dela den bevis-of-concept-exploatering som de använde för att demonstrera denna fråga till Google. Även om det är möjligt kan någon annan ta reda på detta utnyttjande innan Google ger ut en patch, med detaljerna bakom denna exploit fortfarande hålls privat är det osannolikt.
Vad gör Google med det här?
Enligt ett uttalande från Google adresserar oktober säkerhetsuppdatering båda dessa sårbarheter. Dessa korrigeringar görs i AOSP och kommer att lanseras till Nexus-användare från och med 5 oktober. Eagle-eyed-läsare kanske har lagt märke till Nexus 5X och Nexus 6P som vi tittade på nyligen redan hade den 5 oktober-uppdateringen installerad, så om du förbeställde en av de telefonerna kommer din hårdvara att komma fram korrigerad mot dessa sårbarheter. Ytterligare information om lappen kommer att finnas i Google Security Google Group den 5 oktober.
När det gäller icke-Nexus-telefoner tillhandahöll Google oktober-säkerhetsuppdateringen till partners den 10 september och har samarbetat med OEM-tillverkare och operatörer för att leverera uppdateringen så snart som möjligt. Om du tittar på listan över enheter som korrigerats i den senaste Stagefright-exploateringen, har du en rimlig bild av vilken hårdvara som anses vara en prioritet i denna process.
Hur håller jag mig säker tills plåstret anländer till min telefon eller surfplatta?
I händelse av att någon verkligen springer runt med en Stagefright 2.0-exploat och försöker smitta Android-användare, vilket igen är mycket osannolikt på grund av bristen på offentliga detaljer, har nyckeln till att hålla sig säker allt att göra med uppmärksamhet till var du är. bläddrar igenom och vad du är ansluten till.
Undvik offentliga nätverk när du kan, lita på tvåfaktorautentisering när det är möjligt och håll dig så långt borta från skumma webbplatser som du kan. Oftast sunt förnuft på webben för att skydda dig själv.
Är detta världens slut?
Inte ens en liten bit. Även om alla Stagefright-sårbarheter verkligen är allvarliga och måste behandlas som sådana, har kommunikationen mellan Zimperium och Google för att säkerställa att dessa problem tas upp så snabbt som möjligt varit fantastiskt. Zimperium har med rätta uppmärksammat problem med Android, och Google har gått in för att fixa. I en perfekt värld skulle dessa sårbarheter inte existera, men de gör och hanteras snabbt. Kan inte be om mycket mer än så, med tanke på situationen vi befinner oss i.
