Hlavní navigace

Stagefright: objevena díra v Androidu zneužitelná posláním jedné MMS

 Autor: Google
David Slížek

Bezpečnostní firma Zimperium Mobile Security objevila závažnou chybu v Androidu. Případným útočníkům stačí k úspěšnému hacku znát jen telefonní číslo.

Většina bezpečnostních chyb má společnou jednu věc: aby je útočníci mohli zneužít, potřebují k tomu aktivní „spolupráci“ své oběti – ta musí například stáhnout či otevřít infikovaný soubor, nebo aktivně vykonat jinou akci, která vpustí hackera dovnitř.

Chyba využívající multimediální knihovnu Stagefright v Androidu je ale nebezpečná hlavně kvůli tomu, že se dá zneužít i bez aktivní účasti uživatele, třeba i v době, kdy telefon sám aktivně nepoužívá. Útočníkům k proniknutí do zařízení stačí jen znát jeho telefonní číslo.

Na to mohou poslat MMS obsahující speciálně upravený mediální soubor a je hotovo. „Plně připravený úspěšný útok dokonce může zprávu smazat dříve, než ji uživatel přečte. Zůstane jen upozornění na její doručení,“ upozorňuje Joshua J. Drake ze Zimperium Mobile Security, který chybu objevil. 

Úspěšný útok může dát hackerovi vládu nad řadou funkcí a aplikací v zařízení – například nad mikrofonem či kamerou. Může ale získat i úplný přístup k telefonu. Další podrobnosti o chybě chce Zimperium zveřejnit začátkem srpna na amerických konferencích Black Hat USA a DEF CON 23.

Záplaty jen pro někoho

Podle bezpečnostní firmy jsou chybou ohroženy všechny přístroje s Androidem 2.2 a vyšším. Nejvyšší riziko přitom nesou mobily s verzí starší než Android 4.2 Jelly Bean (jde asi o 11 % zařízení).

Firma na problém upozornila Google a zároveň mu navrhla vlastní záplaty, které jej mají řešit. Google podle ní zareagoval bleskově a do 48 hodin nasadil ve svých vnitřních systémech. Jenže to zdaleka nestačí.

Google totiž neumí záplatovat operační systémy ve všech zařízeních s Androidem. Může leda tak vyzvat výrobce a operátory, aby patche poslali do telefonů svých zákazníků. To ale může trvat a na starší zařízení se oprava ani nemusí dostat.

Jedinou obranou uživatelů tak může být podle některých zdrojů zákaz automatického stahování příloh z MMS, nebo zákaz automatického příjmu MMS jako takových (například v Hangouts).

Našli jste v článku chybu?

28. 7. 2015 19:53

Petr (neregistrovaný)

Všim jsi si vůbec, že uživatel Martin, na kterého reaguješ piše: "který lze aktualizovat Googlem". Nikde se neříká, že ti někdo něco chce nutit.

28. 7. 2015 17:55

Martin (neregistrovaný)

Koncept Androidu je zcela zcestný. Měl by být jen základní systém, který lze aktualizovat Googlem právě pro v takovýchto situacích a výrobce zařízení by měl dodávat jen ovladače k HW do tohoto systému.

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

DigiZone.cz: Optimedia: hybridní kampaň Nescafé

Optimedia: hybridní kampaň Nescafé

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu