Nesten alle Android-telefoner er berørt.
Sikkerhetsselskapet Zimperium har oppdaget alvorlige sikkerhetshull i Android, som de mener er er de verste i Android noensinne. Og sikkerhetshullene berører nesten alle Android-telefoner på markedet – rundt 95 prosent, skriver Zimperium i et blogginnlegg.
Det skriver tek.no.
Det var Joshua Drake hos Zimperium som oppdaget sårbarhetene, som befinner seg i et multimediabibliotek i Android som kalles Stagefright. Biblioteket inneholder programkode for prosessering av en rekke populære multimediafiler, og er laget i C++.
Utnyttet sårbarheten
Ifølge Drake kan ondsinnede hackere utnytte sårbarhetene ved å sende en spesiell multimediamelding (MMS) til telefonen. Alt angriperen trenger, er brukerens telefonnummer.
Angriperen kan så kjøre egen kode på telefonen og eventuelt ta kontroll over telefonen. Og det er ikke sikkert brukeren merker noe til angrepet, siden det er mulig å sende en MMS som automatisk sletter seg selv før brukeren oppdager den – for eksempel midt på natten når brukeren ligger og sover.
Sikkerhetsselskapet vil gå ut med mer detaljert informasjon om sikkerhetshullene på sikkerhetskonferansen Black Hat USA og Def Con 23 i neste uke.
Har varslet Google
Stagefright brukes ifølge Computerworld ikke bare til avspilling av multimediafiler, men også til å automatisk generere miniatyrbilder av videofiler eller til å hente ut metadata fra video- og lydfiler – for eksempel om spilletid, oppløsning og så videre. Det betyr at du kan bli rammet av sikkerhetshullet bare ved å kopiere infiserte filer til telefonen, ved å laste dem ned, eller åpne en nettside med det infiserte multimediainnholdet.
Ifølge Computerworld er ikke Zimperium sikre på hvor mange apper som bruker Stagefright, men det antas at de fleste apper som håndterer mediafiler i Android bruker biblioteket på en eller annen måte.
Zimperium har laget «patcher» som tetter sikkerhetshullene og sendt disse til Google. Ifølge sikkerhetsselskapet reagerte Google raskt, og fjernet sårbarhetene fra interne utgaver av Android-kildekoden. Patchene har blitt gjort tilgjengelig for telefonprodusenter som er med i Open Handset Alliance – men erfaringsmessig tar det lang tid før alle telefoner er oppdatert. Dermed vil svært mange brukere kunne være berørt av sikkerhetshullene i lang tid. Drake tror ifølge Computerworld at maks 20 til 50 prosent av Android-mobilene på markedet vil bli oppdatert.
Zimperium berømmer imidlertid Mozilla, som har tettet sikkerhetshullet i de siste versjonene av Firefox for Android. Men Android-telefoner med Firefox vil antagelig likevel være berørt av sårbarhetene via andre deler av systemet.
No comments:
Post a Comment