Дірка у кишені: у смартфонах на Android виявлено вразливість
30 липня 2015 р.За даними німецького маркетингового інституту IDC, понад 80 відсотків смартфонів у цілому світі працюють на операційній системі Android. І приблизно мільярд з них, як виявилося, може бути легко зламаний хакерами. Про це попередили спеціалісти американської компанії Zimperium, які виявили вразливість у популярній операційній системі. Для зараження смартфону зловмисникам достатньо знати телефонний номер власника. На цей номер через месенджер Hangouts або як мультимедійне повідомлення MMS відправляється відеокліп, який містить шкідливий код. От і все. Власнику телефону зовсім необов’язково навіть відкривати повідомлення - далі зараження смартфону відбувається автоматично.
Хто винний
Винний базовий інструмент системи Android для відтворення мультимедійних файлів під назвою Stagefright. Як висловився в інтерв’ю журналу Forbes спеціаліст компанії Zimperium Джошуа Дрейк (Joshua Drake), який першим виявив слабке місце, йдеться про "джерело всіх вразливостей системи Android".
Проблема - у базовому принципі Stagefright, який автоматично завантажує відеокліпи, прикріплені до повідомлень. Від дій користувача тут уже мало що залежить. Навіть більше, шкідлива програма, потрапивши у смартфон, може потім взагалі стерти повідомлення, яке прийшло, у теці "Вхідні", тож власник телефону нічого не помітить.
А наслідки можуть бути дуже неприємними. Через шкідливий код, який потрапив у телефон, зловмисники відразу починають контролювати ті частини системи, до яких є доступ у Stagefright, а саме сховища аудіо- та відеозаписів, фотографій, а також пристрій бездротового зв’язку Bluetooth на телефоні. Можливий також доступ до інших блоків смартфону, включно з камерою та мікрофоном, що дозволяє зловмисникам чути і бачити все, що відбувається неподалік пристрою.
Що робити?
Як розповіли спеціалісти Zimperium, вони виявили вразливість ще в квітні цього року - і відразу ж поінформували про це виробника системи Android, компанію Google. У Google відреагували швидко: компанія негайно розіслала "ліки" від шкідливого вірусу виробникам смартфонів на Android. А от що зробили ті, сказати важко.
Поширення "латок" до операційної системи або її нових версій для конкретних марок смартфонів - процес доволі тривалий, і, за спостереженнями журналу Forbes, ще "жоден із виробників смартфонів на Android не поширив оновлення системи з нейтралізованою вразливістю". Це означає, що зараз у світі наражаються на ризик до одного мільярда телефонів. Поза небезпекою тільки зовсім "давні" смартфони з системою версії не нижче 2.2.
Коли з'явиться оновлення, поки не відомо. У Google закликають не драматизувати події та відзначають, що у квітні відомих випадків зараження через вразливість не було. Про те, що відбувається сьогодні, новин немає. Німецька спеціалізована преса також закликає власників смартфонів на Android не панікувати, а краще самим внести нескладні зміни у налаштування.
Зокрема, рекомендують відімкнути автоматичне завантаження MMS-повідомлень у налаштуваннях вашого SMS-додатку та, якщо можливо, не користуватися месенджером Hangouts. У цілому, доводиться чекати на оновлення системи від фірм-виробників смартфонів. Докладну інформацію про боротьбу з вразливістю спеціалісти нададуть їм у перші дні серпня, на спеціалізованій конференції для розробників у Лас-Вегасі