Nếu bạn có một thiết bị Android, có lẽ bạn cũng biết về lỗi Stagefright.
Các thiết bị cầm tay của Google, Samsung, HTC, LG, Sony và Blackphone cũng như các nhà mạng khác nhau đã phát hành một bản vá cho Stagefright, nhưng dường như nó có thể không đủ.
Công ty bảo mật Exodus Intelligence đã phát hiện ra một lỗi trong một tinh chỉnh mã nguồn cụ thể, chịu trách nhiệm cho sự cố thiết bị khi dữ liệu trong tin nhắn đa phương tiện đang được mở. Và, theo công ty, nó có thể được khai thác.
$config[code] not foundVề phần mình, Exodus đã nói:
Có một số lượng lớn sự chú ý không liên quan đến lỗi - chúng tôi tin rằng chúng tôi có thể không phải là những người duy nhất nhận thấy nó là thiếu sót. Những người khác có thể có ý định độc hại, Một tệp video MP4 không đúng định dạng bị sập ngay cả trong các thư viện Android Stagefright đã vá, khiến các thiết bị mà chúng chạy dễ bị tấn công.
Vấn đề đặc biệt này được phát hiện vào khoảng ngày 31 tháng 7, khi nhà nghiên cứu bảo mật Exodus Intelligence Jordan Gruskovnjak nhận thấy một vấn đề nghiêm trọng với bản vá được đề xuất. Ông đã tạo ra một chiếc MP4 để bỏ qua bản vá và được chào đón với một sự cố khi nó được thử nghiệm.
Điều quan trọng cần lưu ý là tất cả các lỗ hổng và phơi nhiễm chung (CVE) đã được vá và Google đã chỉ định khám phá Exodus với CVE-2015-3864, vì vậy, chúng tôi nhận thức rõ vấn đề.
Vậy Stagefright là gì và tại sao nó lại nguy hiểm như vậy?
Theo Zimperium:
Các lỗ hổng này cực kỳ nguy hiểm vì chúng không yêu cầu nạn nhân thực hiện bất kỳ hành động nào để bị lợi dụng. Không giống như lừa đảo, nơi nạn nhân cần mở tệp PDF hoặc liên kết được gửi bởi kẻ tấn công, lỗ hổng này có thể được kích hoạt trong khi bạn ngủ. Công ty tiếp tục nói, trước khi bạn thức dậy, kẻ tấn công sẽ xóa bất kỳ các dấu hiệu của thiết bị bị xâm nhập và bạn sẽ tiếp tục một ngày như bình thường - với một chiếc điện thoại bị tấn công.
Khai thác Android Stagefright có thể sử dụng các lỗ hổng trong HĐH Android mà nó sử dụng để xử lý, phát và ghi các tệp đa phương tiện.
Bằng cách gửi MMS, Stagefright có thể xâm nhập vào thiết bị của bạn và sau khi bị nhiễm, kẻ tấn công sẽ truy cập từ xa vào micrô, máy ảnh và bộ nhớ ngoài của bạn. Trong một số trường hợp, quyền truy cập root vào thiết bị cũng có thể được nhận.
Lỗi Android Stagefright ban đầu được phát hiện bởi Zimperium zLabs VP của Nghiên cứu và Khai thác Nền tảng Joshua J. Drake, vào tháng Tư. Sau đó, anh ta nói rằng anh ta và nhóm của anh ta tin rằng đó là lỗ hổng Android tồi tệ nhất được phát hiện cho đến nay, và đó là, nó đã làm lộ ra 95% thiết bị Android, ước tính khoảng 950 triệu thiết bị.
Zimperium đã báo cáo lỗ hổng cho Google cùng với các bản vá và nó đã hành động nhanh chóng bằng cách áp dụng các bản vá cho các nhánh mã nội bộ trong vòng 48 giờ.
Bạn có thể làm gì cho đến khi có cách khắc phục dứt khoát cho vấn đề?
Trước hết, chỉ trả lời tin nhắn từ các nguồn bạn tin tưởng. Ngoài ra, hãy tắt tính năng tự động tải xuống cho MMS trên SMS, Hangouts và video trên các ứng dụng bạn đã cài đặt trên thiết bị của mình.
Mỗi ứng dụng và thiết bị có vị trí riêng, nhưng thường nằm trong cài đặt và tải xuống phương tiện. Nếu bạn có thể tìm thấy nó cho ứng dụng cụ thể của mình, hãy liên hệ với nhà xuất bản ứng dụng.
Đầu tháng này, Google tuyên bố sẽ phát hành các bản vá bảo mật hàng tháng cho các thiết bị Android tại hội nghị bảo mật Black Hat, với sự phù hợp của Samsung.
Công ty lần đầu tiên phát hiện ra Stagefright có một ứng dụng có sẵn trên Google Play. Nó cho bạn biết nếu thiết bị của bạn dễ bị tấn công, CVE nào mà thiết bị của bạn dễ bị tổn thương và bạn có cần cập nhật hệ điều hành di động hay không. Nó cũng kiểm tra CVE-2015-3864, lỗ hổng Exodus Intelligence được xác định.
Android là nền tảng hệ điều hành di động phổ biến nhất, nhưng nó rất phân mảnh. Điều này có nghĩa là không phải ai cũng đang chạy bản cập nhật hệ điều hành hoặc bảo mật mới nhất, điều này khiến cho việc đảm bảo mọi thiết bị Android đều được bảo vệ rất khó khăn.
Nếu nhà sản xuất điện thoại thông minh của bạn đã vá thiết bị của bạn, hãy đưa vấn đề vào tay của bạn và đảm bảo rằng bạn luôn có bản cập nhật mới nhất cho thiết bị của mình.
Hình ảnh: Trình phát hiện sân khấu / Bảo mật di động
Thêm trong: Google 3 Nhận xét
