Stagefright 2.0, czyli kolejna groźna luka w Androidzie

Odkryto nową lukę w Androidzie, która obecna jest we wszystkich wydaniach systemu mobilnego Google łącznie z najnowszą wersją o nazwie kodowej Lollipop. Ta podatność na ataki została nazwana Stagefright 2.0.

W ostatnim miesiącu było bardzo głośno o luce w systemie Android o nazwie Stagefright, która pozwalała przejąć kontrolę nad urządzeniem po wysłaniu do użytkownika spreparowanej wiadomości MMS.

Google i producenci smartfonów z Androidem wprowadzili zmiany w kodzie swojego oprogramowania, aby zabezpieczyć swoich użytkownikiem przed atakami wykorzystującymi Stagefright. Niestety odkryto kolejne zagrożenie.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Jeszcze kurz nie opadł, a Qualcomm już zapowiada nowe CPU

Nowa luka związana jest z przetwarzaniem przez system Android plików multimedialnych. Atakujący mogą uzyskać dostęp do prywatnych danych użytkownika poprzez przekierowanie ich na spreparowaną stronę internetową.

Badacze z Zimperium odkryli już wcześniej lukę w bibliotece Stagefright, którą można wykorzystać wysyłając spreparowanego MMS-a. Wykrycie błędu było implulsem dla Google i producentów takich jak Samsung i LG, by przygotować łatkę.

Błąd pozwalający na wykonanie ataku związany jest ze sposobem przetwarzania przez system operacyjny metadanych plików multimedialnych. Chodzi konkretnie o pliki z muzyką w formacie MP3 i pliki wideo w formacie MP4.

Stagefright 2.0, czyli kolejna groźna luka w Androidzie

Użytkownicy Androida mogą obawiać się kolejnej luki nazywanej StageFright 2.0

Teraz pojawiło się nowe zagrożenie związane z biblioteką libutils. Podatność określana przez firmę Zimperium jako Stagefright 2.0 dotyka praktycznie wszystkie urządzenia działające pod kontrolą mobilnego systemu Google'a.

Zagrożone są zarówno smartfony i tablety korzystające pierwszego Android wydanego w 2008 roku, jak i urządzenia pracujące pod kontrolą najnowszego Android 5.1.1 Lollipop. Oznacza to, że nawet miliard urządzeń może być podatnych na atak.

Atak przez wiadomość MMS w najnowszej wersji Androida jest już niemożliwy, ale wykorzystując podatności Stagefright i libutils można przejąć kontrolę nad urządzeniem po spreparowaniu linka strony internetowej np. w wiadomości email lub zarażonej reklamie lub podatnym na atak odtwarzaczu multimediów.

Zimperium zgłosiło odkryte błędy do Google 15 sierpnia. Oznaczono je CVE-2015-3876 i CVE-2015-6602. 5 października powinna pojawić się stosowna aktualizacja Androida, a aplikacja Stagefright Detector ma zostać zaktualizowana o moduł wykrywania nowszego zagrożenia.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200