Hlavní navigace

Stagefright: objevena díra v Androidu zneužitelná posláním jedné MMS

Autor: Google
David Slížek

Bezpečnostní firma Zimperium Mobile Security objevila závažnou chybu v Androidu. Případným útočníkům stačí k úspěšnému hacku znát jen telefonní číslo.

Většina bezpečnostních chyb má společnou jednu věc: aby je útočníci mohli zneužít, potřebují k tomu aktivní „spolupráci“ své oběti – ta musí například stáhnout či otevřít infikovaný soubor, nebo aktivně vykonat jinou akci, která vpustí hackera dovnitř.

Chyba využívající multimediální knihovnu Stagefright v Androidu je ale nebezpečná hlavně kvůli tomu, že se dá zneužít i bez aktivní účasti uživatele, třeba i v době, kdy telefon sám aktivně nepoužívá. Útočníkům k proniknutí do zařízení stačí jen znát jeho telefonní číslo.

Na to mohou poslat MMS obsahující speciálně upravený mediální soubor a je hotovo. „Plně připravený úspěšný útok dokonce může zprávu smazat dříve, než ji uživatel přečte. Zůstane jen upozornění na její doručení,“ upozorňuje Joshua J. Drake ze Zimperium Mobile Security, který chybu objevil. 

Úspěšný útok může dát hackerovi vládu nad řadou funkcí a aplikací v zařízení – například nad mikrofonem či kamerou. Může ale získat i úplný přístup k telefonu. Další podrobnosti o chybě chce Zimperium zveřejnit začátkem srpna na amerických konferencích Black Hat USA a DEF CON 23.

Záplaty jen pro někoho

Podle bezpečnostní firmy jsou chybou ohroženy všechny přístroje s Androidem 2.2 a vyšším. Nejvyšší riziko přitom nesou mobily s verzí starší než Android 4.2 Jelly Bean (jde asi o 11 % zařízení).

Firma na problém upozornila Google a zároveň mu navrhla vlastní záplaty, které jej mají řešit. Google podle ní zareagoval bleskově a do 48 hodin nasadil ve svých vnitřních systémech. Jenže to zdaleka nestačí.

Google totiž neumí záplatovat operační systémy ve všech zařízeních s Androidem. Může leda tak vyzvat výrobce a operátory, aby patche poslali do telefonů svých zákazníků. To ale může trvat a na starší zařízení se oprava ani nemusí dostat.

Jedinou obranou uživatelů tak může být podle některých zdrojů zákaz automatického stahování příloh z MMS, nebo zákaz automatického příjmu MMS jako takových (například v Hangouts).

Našli jste v článku chybu?
28. 7. 2015 19:53
Petr (neregistrovaný)

Všim jsi si vůbec, že uživatel Martin, na kterého reaguješ piše: "který lze aktualizovat Googlem". Nikde se neříká, že ti někdo něco chce nutit.

28. 7. 2015 17:55
Martin (neregistrovaný)

Koncept Androidu je zcela zcestný. Měl by být jen základní systém, který lze aktualizovat Googlem právě pro v takovýchto situacích a výrobce zařízení by měl dodávat jen ovladače k HW do tohoto systému.