Video: StageFright by X0gTh. Взлом android 2015 (Tháng Chín 2024)
Di chuyển qua Heartbleed, có một mối đe dọa kỹ thuật số được đặt tên mới có khả năng nhấn chìm hàng trăm triệu người. Nó được gọi là Stagefright và cộng đồng bảo mật thông tin lo ngại rằng 950 triệu điện thoại Android có nguy cơ bị khai thác.
Mặc dù hầu hết các bản hack Android ít nhất yêu cầu nạn nhân mắc một số lỗi, như bị lừa tải xuống phần mềm độc hại, lỗ hổng Stagefright có thể đã có trên gần một tỷ điện thoại Android bất kể người dùng làm gì. Và đâu là thủ phạm thực sự đằng sau một lỗ hổng lớn này (tất nhiên là ngoài các tin tặc)? Vấn đề phân mảnh Android đang diễn ra.
Gãy chân
Theo công ty bảo mật di động Zimperium của doanh nghiệp Israel, thật dễ dàng để Stagefright lây nhiễm điện thoại của bạn. Lỗi là một lỗ hổng được phát hiện gần đây trong mã thư viện phương tiện nguồn mở của Google, cho phép kẻ tấn công thực thi mã trên thiết bị của bạn chỉ bằng cách gửi cho bạn một tin nhắn văn bản. Lỗ hổng Stagefright có thể được sử dụng để đặt điện thoại và dữ liệu của nó trước sự tấn công của kẻ tấn công. Danh bạ, máy ảnh, micrô và ảnh nằm dưới sự kiểm soát của hacker. Một lần nữa, điều này hoàn toàn có thể xảy ra dưới mũi của bạn. Không có dấu hiệu bên ngoài cho thấy vi phạm đang xảy ra.
Có một vài cách để bảo vệ bạn khỏi Stagefright. Trong ứng dụng Hangouts, hãy đi tới Cài đặt, chọn SMS, biến Hangouts thành ứng dụng SMS mặc định của bạn và bỏ chọn hộp "Tự động truy xuất MMS". Bây giờ bạn có thể sàng lọc các tin nhắn MMS đến và tránh tải xuống bất cứ điều gì đáng ngờ. Nhưng trong khi điều này có thể ngăn chặn vĩnh viễn sự xâm nhập bí mật, nó không phải là một giải pháp hoàn chỉnh. Bạn vẫn có thể vô tình đọc một văn bản độc hại trong một ứng dụng SMS thông thường.
Để giải thích trực quan, hãy xem sơ đồ này từ Checkmarx, một công ty cung cấp phân tích bảo mật mã để đảm bảo các ứng dụng di động đang phát triển được an toàn trước các khai thác như Stagefright.
Chia nhân cách
Thật không may, những cách dễ dàng nhất để ngăn chặn những kẻ tấn công khai thác Stagefright nằm ngoài tầm với của đại đa số chủ sở hữu Android. Nếu bạn có điện thoại Google Nexus hoặc bất kỳ thiết bị nào khác đang chạy Android, có lẽ bạn đã nhận được bản cập nhật giúp khai thác. Tuy nhiên, nếu điện thoại của bạn không có quyền truy cập vào các bản cập nhật mới nhất, bạn sẽ dễ bị tổn thương cho những ai biết được bao lâu. Không có gì bạn có thể làm. Nó đủ để khiến bạn muốn root điện thoại và tự khắc phục sự cố. Hoặc mua iPhone.
Stagefright là nguy hiểm, nhưng nó cũng bực bội vì không có lý do gì nó phải trở thành một rủi ro quy mô lớn như vậy. Mặc dù thật tuyệt nếu lỗ hổng được phát hiện và xử lý sớm hơn trong quá trình phát triển, ít nhất Google đã nhanh chóng đưa ra một bản vá cho lỗi này. Tuy nhiên, do Android quá phân mảnh, với rất nhiều thiết bị khác nhau chạy phiên bản hệ điều hành di động được điều chỉnh một chút của riêng họ, vô số người dùng sẽ không an toàn cho đến khi sửa lỗi cho họ thông qua các nhà sản xuất phần cứng thờ ơ, thậm chí họ còn nhận được sửa chữa cả. Bạn có thể cho rằng sự cởi mở của Android mang lại cho nó sự tự do và lợi ích mà iOS thiếu, nhưng đây là trường hợp điều tốt nhất cho mọi người là Google sẽ có quyền kiểm soát nhiều hơn đối với nền tảng của mình.
Stagefright chắc chắn sẽ nhận được một số sự chú ý tại Black Hat vào tuần tới. Để biết thêm về hội nghị bảo mật máy tính sắp tới, hãy đảm bảo tiếp tục đọc PCMag.com.
