Logo iw.androidermagazine.com
Logo iw.androidermagazine.com
» תוכנה
תוכנה

מה שאתה צריך לדעת על stagefright 2.0

מה שאתה צריך לדעת על stagefright 2.0

תוכן עניינים:

Anonim

החודשיים האחרונים היו מלאים בחוסר וודאות רב סביב סדרת נושאים שזכו לכינוי Stagefright, שם שנצבר מכיוון שרוב הנושאים שנמצאו קשורים לפרזנטורה באנדרואיד. חברת האבטחה צימפריום פרסמה את מה שהם מכנים Stagefright 2.0, עם שני גיליונות חדשים סביב קובצי mp3 ו- mp4 שניתן יהיה לטפל בהם כדי לבצע קוד זדוני בטלפון שלך.

להלן מה שאנחנו יודעים עד כה, וכיצד לשמור על עצמך.

מה זה Stagefright 2.0?

על פי צימפריום, זוג נקודות תורפה שהתגלו לאחרונה מאפשרות לתוקף להציג טלפון או טאבלט אנדרואיד עם קובץ שנראה כמו MP3 או MP4, כך שכאשר מערכת ההפעלה מקדימה את המטא נתונים של אותו קובץ עלולה להפעיל קובץ זה. קוד זדוני. במקרה של התקפה של אדם במזרח התיכון או אתר שנבנה במיוחד למסירת קבצים שגויים אלה, ניתן היה לבצע קוד זה מבלי שהמשתמש ידע זאת מעולם.

צימפריום טוען כי אישר ביצוע מרחוק והביא את זה לידיעת גוגל ב- 15 באוגוסט. בתגובה, גוגל הקצתה את CVE-2015-3876 ו- CVE-2015-6602 לזוג הנושאים המדווחים והחלה לעבוד על תיקון.

האם הטלפון או הטאבלט שלי מושפעים?

בדרך זו או אחרת, כן. CVE-2015-6602 מתייחס לפגיעות אצל libutils, וכפי שצימפריום מציין בפוסט שבישר על גילוי הפגיעות הזו, זה משפיע על כל טלפון וטאבלט אנדרואיד החוזרים עד אנדרואיד 1.0. CVE-2015-3876 משפיע על כל מכשיר אנדרואיד 5.0 ומעלה טלפון או טאבלט, ויכול להיות תיאורטית למסור דרך אתר אינטרנט או איש בהתקפה האמצעית.

למרות זאת.

אין כרגע דוגמאות פומביות לפגיעות זו ששימשה מעולם לניצול כל דבר מחוץ לתנאי מעבדה, ו- Zimperium לא מתכננת לשתף את גוגל בהגשת ההוכחה שהשתמשו בה כדי להפגין סוגיה זו. אמנם יתכן שמישהו אחר יכול להבין את הניצול הזה לפני שגוגל תנפיק תיקון, אולם הפרטים שמאחורי ניצול זה עדיין לא יישארו פרטיים, אך זה לא סביר.

מה גוגל עושה בקשר לזה?

על פי הצהרה מגוגל, עדכון האבטחה באוקטובר מטפל בשתי הפגיעויות הללו. תיקונים אלה ייעשו ב- AOSP ויופעלו למשתמשים ב- Nexus החל מה -5 באוקטובר. קוראי נשר עיניים יתכן והבחינו ב- Nexus 5X ו- Nexus 6P שבחנו בהם לאחרונה הותקן עדכון ה- 5 באוקטובר, כך שאם הזמנתם מראש את אחד מהטלפונים הללו החומרה שלכם תגיע טלאים נגד פגיעויות אלה. מידע נוסף על התיקון יהיה בקבוצת Google Security Android ב- 5 באוקטובר.

באשר לטלפונים שאינם Nexus, גוגל סיפקה את עדכון האבטחה באוקטובר לשותפים ב- 10 בספטמבר, והיא עבדה עם יצרני ציוד מקורי וספקים כדי לספק את העדכון בהקדם האפשרי. אם תסתכל על רשימת המכשירים שטופלו במנצל Stagefright האחרון, יש לך תמונה סבירה של איזו חומרה נחשבת לעדיפות בתהליך זה.

כיצד אוכל להישאר בטוח עד שתגיע התיקון לטלפון או לטאבלט שלי?

במקרה שמישהו באמת מתרוצץ עם ניצול Stagefright 2.0 ומנסה להדביק משתמשי אנדרואיד, וזה שוב לא סביר מאוד בגלל היעדר הפרטים הציבוריים, המפתח לשמירה על ביטחון קשור בכל תשומת הלב למקום שאתה נמצא בו '. גלישה מחדש ומה אתה מחובר אליו.

הימנע מרשתות ציבוריות כשאתה יכול, הסתמך על אימות דו-גורמי במידת האפשר והתרחק הרחק מאתרים מוצלים ככל שתוכל. לרוב, דברים ברשת השכל הישר לשמירה על עצמך.

האם זה סוף העולם?

אפילו לא קצת. אמנם כל הפגיעויות ב- Stagefright אכן רציניות ויש להתייחס אליהן ככאלה, אולם התקשורת בין צימפריום וגוגל בכדי להבטיח טיפול בבעיות אלו במהירות האפשרית הייתה נהדרת. צימפריום הפנה בצדק את תשומת הלב לבעיות באנדרואיד, וגוגל נכנסה לתקן. בעולם מושלם הפגיעויות הללו לא היו קיימות, אך הן אכן מטופלות במהירות. לא יכול לבקש הרבה יותר מזה, בהתחשב במצב בו אנו נמצאים.

תוכנה

בחירת העורכים