Anonim
Android-fragmentering

Flytta över Heartbleed, det finns ett nytt olycksbådande namngivet digitalt hot som har potential att uppsluka hundratals miljoner människor. Det heter Stagefright, och informationssäkerhetssamhället fruktar att 950 miljoner Android-telefoner riskerar att ge efter för utnyttjandet.

Medan de flesta Android-hackar åtminstone kräver offren att göra något slags misstag, som att bli lurade att ladda ner skadlig programvara, kan Stagefright-sårbarheten redan vara på nästan en miljard Android-telefoner oavsett vad användare gör. Och vad är den verkliga skyldigheten bakom en sådan sårbarhet (förutom naturligtvis hackarna)? Den pågående frågan om Android-fragmentering.

Bryt ett ben
Enligt det israeliska företagets mobila säkerhetsföretag Zimperium är det skrämmande enkelt för Stagefright att smitta din telefon. Vid fel är en nyligen upptäckt fel i Googles källa för mediebibliotek med öppen källkod, som gör det möjligt för angripare att köra kod på din enhet bara genom att skicka ett SMS. Stagefright-sårbarheten kan användas för att sätta en telefon och dess data som en angripares nåd. Kontakter, kamera, mikrofon och foton är under hackarens kontroll. Återigen kan allt hända helt under din näsa. Det finns inga yttre tecken på att överträdelsen inträffar.

Det finns några sätt att skydda dig från Stagefright. I Hangouts-appen går du till Inställningar, väljer SMS, gör Hangouts till din standard-SMS-app och avmarkera rutan för "Hämta MMS automatiskt." Nu kan du screena inkommande MMS-meddelanden och undvika att ladda ner något misstänkt. Men även om detta permanent kan förhindra hemliga angrepp, är det inte en komplett lösning. Du kan fortfarande av misstag läsa en skadlig text i en vanlig SMS-app.

För en visuell förklaring, kolla in detta diagram från Checkmarx, ett företag som tillhandahåller kodsäkerhetsanalys för att se till att mobilappar under utveckling är säkra från exploater som Stagefright.

stagefright fix

Delad personlighet
Tyvärr är de mest idiotsäkra sätten att förhindra angripare från att utnyttja Stagefright utom räckhåll för de allra flesta Android-ägare. Om du har en Google Nexus-telefon eller någon annan enhet som kör Android, har du antagligen redan fått en uppdatering som krossar utnyttjandet. Men om din telefon inte har tillgång till de senaste uppdateringarna, kommer du att vara sårbar för vem som vet hur länge. Det finns ingenting du kan göra. Det räcker för att du vill rota din telefon och själv lösa problemet. Eller köp en iPhone.

Stagefright är farligt, men det är också frustrerande eftersom det inte finns någon anledning att det borde ha blivit en sådan storskalig risk. Även om det hade varit trevligt om sårbarheten upptäcktes och hanterades tidigare i utvecklingen, gav Google åtminstone snabbt en patch för felet. Eftersom Android är så fragmenterad, med så många olika enheter som kör sin egen lilla tweaked-version av det mobila operativsystemet, kommer otaliga användare dock inte att vara säkra förrän fixen lurar ner till dem genom de slöta hårdvarutillverkarna, om de till och med får fixa alls. Du kan hävda att Androids öppenhet ger det friheter och fördelar iOS saknar, men detta är ett fall där det bästa för alla skulle vara att Google skulle ha mer kontroll över sin plattform.

Stagefright kommer säkert att få viss uppmärksamhet på Black Hat nästa vecka. För mer information om den kommande datorsäkerhetskonferensen, se till att fortsätta läsa PCMag.com.