 |
| Kép: pixabay.com |
A Zimperium nevű biztonsági cég olyan Android-os sebezhetőséget talált, amivel akár egyetlen üzenet fogadásával átvehető az irányítás az okostelefonok felett. A probléma a Stagefright nevű beépített médialejátszóban van, kihasználásával teljes mértékben ellenőrizhető a telefon, ellophatók a jelszavak és a banki adatok is.
A vállalat azt mondta az NPR-nek, hogy a hibát vélhetően még nem használták ki hekkerek, ámde a blogjaik posztjai szerint az Android-os készülékek 95 %-a érintett, ami nagyon sok telefont jelent. 2014-ben több mint 1 milliárd Android operációsrendszerű telefont adtak el az egész világon, 2015-ben pedig ennél is többet. A cég ezért „Minden Android-os sebezhetőségek anyjának” nevezte el a hibát.
A biztonsági cég ez év áprilisban fedezte fel ezt a problémát, és tájékoztatták a Google-t. A Google szóvivője kijelentette, hogy rögvest javítást készítettek, arról viszont nem beszélt, hogy eljutott-e már ez a javítás a felhasználókhoz.
Videó-üzenetként álcázhatják
A támadók a kártékony kódot rövid videóban rejtik el, amit videó-üzenetben elküldenek egy kiválasztott telefonszámra. Ahogy az üzenet megérkezett, a Stagefright előkészíti a videót megnézésre, ezzel képes átvenni a telefon felett az irányítást.
Hasznos védekezési forma lehet, ha valaki nem a beépített üzenetküldő programot használja az üzenet megnyitására. Azok viszont, akik a Hangouts-ot favorizálják az sms-ek, mms-ek megnyitására is, még rosszabbul járhatnak: nem is szükséges megnyitniuk a videót, a rosszindulatú kód egyből lefut önmagától.
Az állapotot az is rontja, hogy a biztonsági rés javítása nemcsak a Google-n múlik: a telefongyártók, például a Samsung, LG, Huawei és a szolgáltatók is koordinálhatják, hogyan frissítik a készülékeiket. Ezért lehet, hogy a néhány nap alatt javított hiba frissítése csak hetek múlva jut el a kliensekhez.
A Zimperium az augusztus 1-én tartandó Las Vegas-i Black Hat hekker-konferencián fogja bemutatni a sebezhetőséget.
Nincsenek megjegyzések: