Myślałeś, że twój smartfon z Androidem jest bezpieczny? Nie jest - twój i miliarda innych użytkowników
Pamiętacie lukę w bibliotece Stagefright? Tak, tę samą, która naraziła na niebezpieczeństwo praktycznie wszystkie urządzenia z systemem Android na rynku. Okazuje się, że podobnych dziur jest więcej.
Publicznie ogłosił to Joshua Drake, jeden z wiceprezesów Zimperium. Według niego w Stagefright są jeszcze dwie luki. Jedna z nich jest obecna na sprzętach z systemem Android 5.0 Lollipop i nowszym, zaś druga na praktycznie wszystkich dostępnych na rynku sprzętach. Oczywiście nie zostały one jeszcze załatane.
Google dostarczył do swoich partnerów odpowiednie poprawki 10 września i zostaną one zainstalowane podczas następnej aktualizacji bezpeczeństwa, która ma nastąpić 5 października. Poprawka trafi również do Android Open Source Project, czyli otwartej wersji Anroida.
Zagrożenia niesione przez nowe luki są równie poważne co ostatnim razem.
Osoba, która wykorzysta te dziury może w bardzo łatwy sposób przejąć kontrolę nad zaatakowanym urządzeniem. Będzie miała dostęp do danych osobistych użytkownika oraz robionych przez niego zdjęć. Będzie mogła również zdalnie robić zdjęcia, nagrywać rozmowy, przeglądać pocztę e-mail i inne wiadomości oraz instalować na urządzeniu dodatkowe aplikacje.
O ile w przypadku pierwszej luki Stagefright najprostszym i najczęściej wykorzystywanym scenariuszem mogło być automatyczne otwarcie przez urządzenie specjalnie spreparowanej wiadomości MMS, to w tym przypadku najlogiczniej jest wykorzystać przeglądarkę. Przestępca może za pomocą phishingu lub chwytliwego banneru przekonać użytkownika do odwiedzenia strony internetowej, która będzie wykorzystywać błąd.
Możliwe jest także stworzenie aplikacji, która będzie wykorzystywać złośliwy kod lub przekierowania ruchu w odpowiednie, zarażone miejsce. W przypadku drugiego błędu, dotykającego wyłącznie urządzenia z Androidem 5.0 i nowszym, do ataku może zostać specjalnie przygotowany plik MP3 lub MP4.
Tak jak w przypadku pierwszych luk Stagefright, także tutaj wykorzystywane są uprawnienia przysługujące tej bibliotece.
Cyberprzestępca może je wykorzystać do swoich celów. Biblioteka Stagefright jest po prostu źle napisana i znajduje się w niej wiele innych błędów. Oznacza to, że mogą być one cały czas używane przez atakujących. Duża część z nich może nigdy nie zostać upubliczniona, co oznacza, że użytkownicy Androida będą cały czas wystawieni na ataki. W tej sytuacji nie ma większego znaczenia fakt, że Google łata te upublicznione luki, ponieważ realny problem leży w jakości biblioteki oraz samym Androidzie.
Ostatnio robiłem test na podatność na pierwszą wersję luk Stagefright na kilku posiadanych przeze mnie sprzętach mobilnych. Okazało się, że praktycznie wszystkie nadal mogą być zaatakowane w stary sposób. Jako posiadacz tych sprzętów absolutnie nie odczułem, że Google zadbał o moje bezpieczeństwo. Wręcz przeciwnie, czuję się wystawiony na ataki jeszcze bardziej.
Co jednak mają zrobić osoby używające sprzętu spod znaku zielonego robota? Przesiąść się na pozbawionego aplikacji Windows Phone’a? A może wydać pół (jak nie całą) wypłaty na iPhone’a? Wiele osób nie ma dużego wyboru i jest skazanych na korzystanie z tanich sprzętów z Androidem. Nawet jeśli nie mają one wiele do ukrycia, nadal mają prawo do prywatności i bezpieczeństwa. Nadszedł czas, by Google im je zapewnił.
*Zdjęcie: Shutterstock
