younghacker

Серьёзная уязвимость Android

Recommended Posts

По непроверенной и непотверждённой пока информации обнаружена серьёзная уязвимость позволяющая по номеру телефона выполнить на нём произвольный код.

Предположительно оценивают что уязвимости подвержено около 950 миллионов устройств с Android и OEM клонами.

Уязвимость будет продемонстрирована 5 августа на Black Hat USA и 7-го августа на DEF CON 23.

Оценивается как наихудшая из когда либо найденных в Android.

 

Атакующий может сформировать MMS которая приведёт к запуску переданного исполняемого кода на целевом телефоне. Никакого участия со стороны пользователя не требуется. Как следствие этого атаку можно скрыть и удалить все следы вторжения.

 

До выхода патча обезопасить свои устройства можно удалив AP для MMS или перенастроить её в неверные значения. Если есть возможность заблокируйте MMS у оператора. Также запретите автоматическую загрузку контента MMS у кого эта опция есть.

 

Для тех кому пофиг, сообщаю, что уязвимые телефоны могут использоваться для скрытой рассылки атакующих MMS. Разумеется за счёт пофигиста. И в том числе по его телефонной книге. Тоесть друзьям и знакомым пофигиста.

 

Ссылка для специалистов.

 

Клон CyanogenMod оперативно выпустил патч.

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky

Хотя технических деталей пока нет, но известно, что это из-за библиотеки libstagefright для декодирования видео, которая используется дефолтовым приложением для MMS сообщений. Более того, это приложение делает препроцессинг видео и уязвимый код исполняется еще до того, как сообщение с MMS откроется пользователем.

 

Некоторые рекомендуют поставить себе TextSecure и сделать его приложением по-умолчанию для SMS/MMS, т.к. оно не делает предварительную обработку видео в сообщениях.

 

Наверное есть ведь и другие программы, которые используеют libstagefright и возможно есть ряд других возможностей, как нечаянно вместе с просмотром видео запустить еще и эксплоит этой уязвимости.

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky
Предположительно оценивают что уязвимости подвержено около 950 миллионов устройств с Android и OEM клонами.

Ну вы поняли. :)

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Odpovědět na toto téma...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.




  • Kdo si právě prohlíží tuto stránku

    Žádný registrovaný uživatel si neprohlíží tuto stránku