Jedna z opráv extrémne vážnych bezpečnostných chýb Stagefright v Androide, ktoré okrem iného umožňujú hacknutie Android telefónov MMS-kou, nie je účinná.
Oprava Google pre chybu CVE-2015-3824, ktorá pozostáva len celkovo zo štyroch riadkov kódu a dvoch riadkov so skutočným kódom, totiž nie je stopercentná a účinná vo všetkých možných prípadoch.
Informuje o tom spoločnosť Exodus Intelligence, ktorá chybu identifikovala na prelome júla a augusta po zverejnení informácií o opravách pôvodných chýb.
Ako sme detailne informovali v tomto článku, v multimediálnom frameworku Androidu s označením Stagefright je respektíve bolo až desať bezpečnostných zraniteľností.
Framework Stagefright je používaný na prehrávanie multimédií ale tiež napríklad na generovanie náhľadov a získavanie informácií o multimédiách. Na zneužitie minimálne niektorých zraniteľností nie je potrebné spustenie infikovaných videí, stačí ich spracovanie Androidom napríklad v podobe vygenerovania náhľadu.
Hacknutie smartfónu s Androidom cez zraniteľnosti Stagefright (video: Zimperium)
Chyba CVE-2015-3824 sa nachádza v spracovaní videa MP4 a kvôli pretečeniu celých čísiel umožňuje pretečenie pamäťového bufferu a vzdialené spustenie útočníkom zvoleného kódu. Oprava Google spočíva v kontrole celých čísiel používaných pri výpočte veľkosti buffera, nemyslí ale na všetky prípady a v niektorých prípadoch nie je účinná.
Stagefright chyby je možné využiť na úplné ovládnutie Android zariadenia napríklad len poslaním MMS. Pre ktoré z desiatich chýb je k dispozícii spoľahlivý funkčný exploit, či je k dispozícii pre chybu CVE-2015-3824 a je naďalej spoľahlivý s nedokonalou opravou Google zatiaľ Exodus a Google nepotvrdili.
Google novú opravenú verziu Androidu pre Nexus zariadenia, opravujúcu aj aktuálne zverejnenú chybu, vydá v septembri. Koľko na prípade nových verzií firmvéru pracujú ostatní operátori a o koľko nájdenie chyby v oprave posunie uvedenie úplne opravenej verzie Androidu nie je jasné, pôvodné chyby boli nahlásené ale už v apríli.
Spoločnosť Zimperium, ktorá identifikovala Stagefright chyby, vzhľadom na nájdenie chyby v oprave pripravuje novú verziu aplikácie Stagefright Detector App pre zistenie prítomnosti jednotlivých chýb.
Vzhľadom na vážnosť chýb a ich zneužiteľnosť na odhadovaných 950 miliónoch Android zariadení niektorí mobilní operátori súčasne s minulotýždenným zverejnením bližších informácií o chybách prijali preventívne opatrenia. Zo slovenských operátorov Slovak Telekom úplne blokuje MMS obsahujúce 3GP a MP4 videá, Orange podobné opatrenie zvažuje.
Re: ďalšia rana pre Windows Mobile
Od reg.: Bytrit
|
Pridané:
14.8.2015 16:36
Čo? Na takúto blbosť si prišiel ako? Blokovanie MMS vyhovuje androidu? akože si myslíš že ludia čo používajú android sú radi keď im niekto kôli bezpečnostnej chybe (ktorá tam v prvom rade ani nemala byť) zablokuje mmsky? (aj keď by ma zaujímalo kto ich používa) A ako prečo je to rana pre Win mobile? či len preto že kôli androidu nedostane v sieti telekomu mmsku?
Re: ďalšia rana pre Windows Mobile
Od: ...
|
Pridané:
14.8.2015 20:54
Zvycajne mas balicky typu nekonecne sms a mms. Pripadne MMS stoja rovnako ako SMS, cize drahe to nie je (oproti SMS). Kvalita fotky je OK na mobile - nepotrebujes 10MB fotku aby si si ju pozrel na malom displeji.. A poslat MMS je jednoduchsie ako pridavat prilohu do mailu a posielat... Ale vzdy kolko ludi tolko chuti a kazdemu vyhovuje nieco ine...
Re: ďalšia rana pre Windows Mobile
Od reg.: raketa
|
Pridané:
15.8.2015 17:00
mne sa raz za zivot podarilo poslat MMS korektne :D inak je to pre mna nepochopitelny prezitok, mrtvola, ktora furt zrejme zije bez dovodu existovat, je to proste blbost
Re: ďalšia rana pre Windows Mobile
Od reg.: K-NinetyNine
|
Pridané:
17.8.2015 16:21
wifi mas na kazdom kroku. akoze, ti co internet v mobile nemaju, nech kludne vyuzivaju mmsky, ale nech sa necuduju, ked my ostatni im posleme fotku cez IM a jemu nedojde.
MMS su prezitok.
btw uz snad kazdy operator dava k zakladnemu pausalu aj nejaky ten naprd slaby a pomaly internet.
Co sa dalo cakat od niecoho postaveneho na linuxe?
Ku stastiu uz len chyba nejaka dalsia zaloba na vykradanie nejakeho dusevneho vlastnictva ako napr. java, pre ktoru sa s nimi sudi oracle :D
Čo je to MMS?
Od: Jamicon
|
Pridané:
15.8.2015 6:53
Za svoj život som ich poslal asi 10 - vtedy, keď to bola novinka. Za posledných 10 rokov som nenapísal ani jednu a ani jednu som nedostal, takže mi je to celkom na saláme.
Pozerám že si tu dali stretko priaznivci malého mäkkého (M$+), takže idem radšej preč, kým sa mi nebude chcieť grcať.
Re: prepacte off topic
Od: servia
|
Pridané:
15.8.2015 13:05
tu spolocnost nezaujma nejaka MMS chyba ju zaujma kolko mobilov z ich OS si kupite a znovu kupite , bezpecnost je druhorada hlavny je predaj predat predat predat to ze to zlo kupujete stale ( chyba ni je v tom linuxe - ale v jeho nadstavbe Andr ) je vasa chyba nie ich ak by ste to nekupovali tak by sa zobudili ale teta ci ujo vam v predajni povedia ze nic lepsie nieje ako tento OS lebo je to za 1€ a vlastne ani jeho netrapi co bude dalej hlavne za svoju smenu urobil 20kontraktov a na 24mesiacov vas zaviazal ... potom ked nieco nefunguju tak vam spolocnost napise pri reklamacii vas problem poskodili ste zariadenie , z niecim takym som sa stretol naposledy ( naozaj ho nechcete na zmluvu ) 100€ zariadenie v hotovosti mal som ho druhy den doma zrazu prestalo fungovat reklamacia - po reklamacii ze som to zariadenie poskrabal no pekne potom som si prenho dosiel naspet ze uz sa vratilo z opravy , mi dosla sms tudle tudle ono na tu opravu po tyzdni ani neodislo
ficura
Od: dnes má meniny Leonard
|
Pridané:
16.8.2015 6:30
Mohli by ste sa vo vasej redakcii a dalsich inych konecne uz naucit, ze to nie su "bezpecnostne chyby", ale backdoory? Nemusite pouzivat politicky korektny slovnik na takychto portaloch.
Uz aj tento clanok hovori za seba. Chyba v dvoch riadkoch, snad si nemyslia, ze sme idioti.
neprihlásený 
