Objevena další bezpečnostní chyba týkající se všech Androidů

Zpravodajství Mobilní zařízení Objevena další bezpečnostní chyba týkající se všech Androidů

Loni v dubnu objevila bezpečnostní firma Zimperium Security velikou bezpečnostní chybu Stagefright týkající se téměř všech zařízení se systémem Android. K infikování zařízení stačilo pouze zaslat MMS zprávu. Na veřejnost se tato informace dostala až v červenci a v srpnu vydal Google záplatu. Někteří výrobci nestihli vydat záplatu pro svá zařízení doteď a Zimperium Security už objevilo další závažnou chybu. Opět se jedná o chybu v knihovně Stagefright, která se stará o přehrávání hudby a videa. Chyba neméně závažná než ta minulá byla pojmenována jako „bug Stagefright 2.0“.

Stagefright

(obr. zdroj: Blog Zimperium)

Způsob, jak se nakazit virem je velmi snadné. Škodlivý kód totiž může být obsažen v MP3 nebo MP4 souborech. Aby se uživatel (respektive jeho zařízení) nakazil, stačí, aby se pouze podíval na náhled souboru (například na webových stránkách, nebo v aplikacích typu Hangouts atp.). Jako tomu bylo i u minulého objeveného bugu, tak i tento se týká téměř všech zařízení běžících na systému Android. Naštěstí zatím není znám žádný záznam o útoku vedeném touto cestou, nicméně je pouze otázkou času, kdy této bezpečnostní chyby někdo využije.

Google už pracuje na nápravě a aktualizoval aplikaci Hangouts, aby předešel infikování telefonu přes tuto aplikaci. Záplata v systému by měla vyjít v říjnu v rámci bezpečnostních aktualizací. Bohužel, k velké většině uživatelů se vinou výrobců tato aktualizace nejspíše vůbec nedostane.

Zdroje: Android Authority, Zimperium Security


 

  Aktivity (1)

Zprávu pro vás napsal Pavel Junek 3.10.2015 21:02
Avatar
Autor se zajímá o Android a věnuje se webtvorbě. Pro ITnetwork píše o zajímavých projektech z crowdfundingových serverů a zprávy ze světa mobilních technologií.

Miniatura
Všechny články v sekci
Zprávy ze světa mobilních zařízení

 

 

Komentáře
Zobrazit starší komentáře (2)

Avatar
Warlock
Člen
Avatar
Warlock:

Mám pocit, že se tu nachází jen novinky o bezpečnostních dírách, které byly už opraveny.

 
Odpovědět 3.10.2015 21:18
Avatar
Jindřich Máca
Tým ITnetwork
Avatar
Jindřich Máca:

Michal Žůrek (misaz) ano a proto na to musí doplatit všichni uživatelé Androidu...

 
Odpovědět  +2 3.10.2015 21:28
Avatar
Jindřich Máca
Tým ITnetwork
Avatar
Odpovídá na Warlock
Jindřich Máca:

Pokud by jsi pozorně četl zprávu, první bezpečností záplata na tuto díru, vyjde někdy v říjnu 2015 a

Bohužel, k velké většině uživatelů se vinou výrobců tato aktualizace nejspíše vůbec nedostane.

Editováno 3.10.2015 21:30
 
Odpovědět 3.10.2015 21:29
Avatar
Odpovídá na Jindřich Máca
Michal Žůrek (misaz):

ale tak to s bezpečnostními dírami je. Dokud se nedostanou na veřejnost nikdo to hluboce neřeší - ani vývojáři.

Odpovědět  +5 3.10.2015 21:30
Nesnáším {}, proto se jim vyhýbám.
Avatar
Matěj Kripner
Redaktor
Avatar
Matěj Kripner:

Já mám zase pocit, že

  1. každý, kdo chybu dokáže zneužít už o ní ví
  2. celá zpráva slouží hlavně ke zvýšení autorova sebevědomí, protože jinak je celkem bezcenná
Odpovědět  -6 3.10.2015 21:30
"We reject kings, presidents and voting. We believe in rough consensus and running code" David Clark
Avatar
Jindřich Máca
Tým ITnetwork
Avatar
Jindřich Máca:

Petr Čech (czubehead) naprosto souhlasím. Zprávy o bezpečnostních dírách, by se měli zveřejňovat až po jejich opravení pro většinu uživatelů. Firmy se z nich musí poučit a někdo může říct, že tu ostudu si i zaslouží, ale nikdy ne na úkor uživatelů...

Editováno 3.10.2015 21:33
 
Odpovědět  +2 3.10.2015 21:32
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Jindřich Máca
Filip Šohajek:

No jo, ale oni jen řekli, že taková díra existuje. Neřekli žádné detaily kromě toho, že se to nachází v Mediaserveru (přes libutil).

 
Odpovědět 3.10.2015 21:55
Avatar
David Dostal
Redaktor
Avatar
David Dostal:

Google o tom ví, zpravodajské servery se o tom nějak dozvěděly. Mají z toho návštěvnost (čti peníze), a tak to zveřejní. A jestli o tom vědí redaktoři, určitě o tom už vědí i hackeři. Jednoduché.

 
Odpovědět  +2 3.10.2015 22:00
Avatar
Jindřich Máca
Tým ITnetwork
Avatar
Jindřich Máca:

Filip Šohajek no jo, ale už i to je dost. :D Když člověk ví, že existují lidé, co si "ze srandy" naprogramují webový server v Assembleru, tak reverzní inženýrství na jednu knihovnu není takový problém. Ví, kde hledat, času před opravou pro většinu uživatelů mají relativně dost a jakmile to někdo najde a podělí se o to se světem, tak to může nadělat docela paseku... Pak už v podstatě záleží jen na tom, jak moc se ta chyba dá zneužít a pro co tj. jestli to někomu bude stát za tu práci.

Ale přesto, že jsem uživatel Androidu, můžu upřímně říct, že mě to vlastně ani netrápí. Otázka zní, jestli by mělo? Dáme si menší úvahu a upozorňuji, že dále je to čistě můj osobní názor.

V první řadě tu rozhodně nechci psát nějaké nenávistné komentáře ohledně autora článku, ani ostatních lidí, co nesdílejí můj názor. Zkrátka už je to venku a myslím, že David Dostal to asi vystihl přesně...

Dále je tu Google, který by asi měl nést zodpovědnost. Ale upřímně, přiznejme si, kdo z Vás nikdy neudělal při programování chybu? :-)

No a nakonec je tu ten strach z chyby samotné. Jak jsem již napsal, mě to vlastně ani netrápí, protože je to věc, se kterou stejně nic neudělám (pokud nepřestanu používat Android) a tak přeci nemá smysl ji řešit.

Pak může nastat už jen ta situace, kdy mě opravdu někdo díky této chybě poškodí. A tady už Vám zbývá možná tak žalovat Google a dožadovat se odškodnění... A opět upřímně, pokud by škoda nebyla nějaká "životní újma", o čemž silně pochybuji, tak já bych do něčeho takového nešel. I kdyby mi sebrali těch pár korun z účtu (dost nepravděpodobné), tak to přeci za nervy a tučné výdaje při prohře u soudu nestojí.

A výsledek? Mám spoustu jiných lepších věcí na práci, než se strachovat o něco podobného... A jestli jste to dočetli až sem, tak jste vážně dobří a já Vám tímto děkuji! :-) A na závěr jedno výstižné heslo:

Don't worry, be happy!

 
Odpovědět  +4 3.10.2015 22:53
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Jindřich Máca
Filip Šohajek:

O to hůř, že ten reverzní engineering ani nemusí dělat, když je Android OSS. Na druhou stranu, nikdo se u původního Stagefrightu nehádal (aspoň co já vím), tak proč by jsme se museli hádat teď :)

 
Odpovědět  +1 3.10.2015 23:20
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 10 zpráv z 12. Zobrazit vše