Адрес для входа в РФ: exler.world
Опасненько
Если не врут, то это как-то очень даже нехорошо.
Zimperium Mobile Security сообщила об опасной уязвимости в Android версии 2.2 и старше, позволяющей с минимальными усилиями выполнить удаленный код на устройстве. Проблема затаилась в движке Stagefright, обрабатывающем ряд популярных медиа-форматов и выполняющемся на ряде устройств с системными правами доступа. Написанный ради ускорения работы на C++, он содержит ряд уязвимостей, худшая из которых не требует взаимодействия с пользователем - ему не нужно открывать никакие файлы, фактически атакующему достаточно узнать телефонный номер жертвы и отправить MMS. Причем аккуратно подготовленная атака еще и сама удалит это сообщение, так что жертва даже не узнает, что ее телефон уже полностью захвачен.
Уязвимость затрагивает 95% всех устройств с Android (т.е. примерно 950 миллионов). Хуже всего придется устройствам до 4.x Jelly Bean (примерно 11%).
Google уже извещена и выпустила срочный патч, но учитывая то, что он должен сначала добраться до производителей конкретных моделей, которые очень неторопливо обновляют свои прошивки, а старые устройства вообще не получают никаких обновлений, ситуация выглядит крайне неприятно. Детали атаки обещано обнародовать на следующей неделе на конференции Black Hat. (Отсюда.)
Буду благодарен за комментарии: "А на айфоне вирусов не бывает", "Что, Экслер, съел со своим хваленым ондроидом?!!", "А мне пофиг", "У меня на телефоне запрещены MMS", "Ждем деталей атаки - чисто поржать", "И молодая не узнает каков танкиста был конец".
Upd: Грамотный коммент, цитирую:
Судя по первоисточнику это неприкрытая реклама Zimperium zLabs )). Обнаруженные, спецалистами этой компании уязвимости не в открытом доступе, а заскречены, и отчеты по ним будут представлены в августе на конференции в США. А вот за обновлениями и мерами обеспчения корпоративной безопасности предлагают бежать к ним прямо сейчас. Кроме того, обнаруженные уязвимости в библиотеках Stagefright позволяют злоумышленникам получить доступ только к разделам фото, видео и аудио, что не так это страшно.
Да хоспади, пришлю всю свою инфу с телефона любому хакеру, давайте имейл.
По сравнению сколько информации выкачивает каждый день NSA , это пучок. NSA то мне может хоть навредить, а хакер что? Украсть десять баксов? Дак виза вернет, а мои сексуальные фото его врД ли заинтересуют
Еще один источник .
...the exploit takes advantage of a number of vulnerabilities found within the software framework Android uses to “process, play and record multimedia files.” ... ...The library is not used just for media playback, but also to automatically generate thumbnails or to extract metadata from video and audio files such as length, height, width, frame rate, channels and other similar information. This means that users don’t necessarily have to execute malicious multimedia files in order for the vulnerabilities found by Drake to be exploited. The mere copying of such files on the file system is enough.
Алекс, помнится, на айфоне тоже был похожий баг. Причем даже не с ММС, а обычной СМС. Определенный текст на арабском языке присланный на айфон, намертво вешал прилжение для СМС, как только это сообщение появлялось на экране. Скорее всего у тебя же тут об этом и было написано.
Уже готовится проект заона о запрете С++
Alex Exler: Написанный ради ускорения работы на C++, он содержит ряд уязвимостей
Уже готовится проект заона о запрете С++
Господин Милонов, перелогиньтесь
А нафига это производителям телефонов? 😄 Им куда интересно новые модели впаривать. У меня была куча андроидных аппаратов - штук 15 уже наверное. Из них реально обновились пара.
Даже не верится, что кто-то так прокомментировал бы пост
Вот еще коммент, которого Алекс ждал, но стеснялся сказать об этом: у меня на старом теле (2.3.6) вместо ММС приходила лишь СМС, что мне отправили ММС и я смогу ее посмотреть по такой-то ссылке. Я, правда, никогда по ней не ходил. Означает ли это, что на том телефоне враг не пройдёт?
А это не от телефона зависит, а от настроек оператора. У моих двоих знакомых Nexus 4 с последними обновлениями, но с симками разных операторов, так один телефон сразу показывает MMS, а другому приходит SMS якобы от меня, а на самом деле от оператора, в SMS предложение пройти по ссылке и просмотреть содержимое MMS в браузере.
А на вашем Самсунге телевизор хорошо показывает? Если да, то обновление не обязательно.
Судя по первоисточнику это неприкрытая реклама Zimperium zLabs )). Обнаруженные, спецалистами этой компании уязвимости не в открытом доступе, а заскречены, и отчеты по ним будут представлены в августе на конференции в США. А вот за обновлениями и мерами обеспчения корпоративной безопасности предлагают бежать к ним прямо сейчас. Кроме того, обнаруженные уязвимости в правах Stagefright позволяют злоумышленникам получить доступ только к разделам фото, видео и аудио, что не так это страшно.
Кстати, да, похоже на то.
The researcher noted that on some older devices, including the Samsung S4 and the LG Optimus Elite, the exploitable process runs with system-level privileges, providing wide access across the phone. “I’m totally confused why you would do this… with that you can do really nasty stuff already, you don’t really need privilege escalation.” - на старых фонах типа рут доступ 😄
доступ только к разделам фото, видео и аудио, что не так это страшно.
О боже, враги посмотрят мой первый сезон декстера... явшоке
По идее так: открыть список SMS-ок, открыть меню, открыть настройки, в разделе MMS отключить автоматический прием MMS. Не уверен правда наверняка, что это поможет, но вроде должно.
нельзя 😒 у меня рабочие Note 3, ммс не блокируется.. я хз что делать: мерия города куча андроидов конторских, а мы должны вроде все рулить... провайдер не блоктрует ММС. пока уяазвимость не закроют я буду жить в контре - то есть до следующего эксплойта.
а вот виноваты будет IT отдел - не не предусмотрели.
мир катится в хаос
Ranma:
Вообще это интересный подход: писать и пост, и к нему сразу комменты. Следующий шаг - начать в комментах срач с самим собой
Главное самого себя не забанить только.
Вообще это интересный подход: писать и пост, и к нему сразу комменты. Следующий шаг - начать в комментах срач с самим собой
Да тут больше желаний развить очередной недельный холивар андрюша/яблочко.
Что, не предусмотрел такого камента? 😄
Не только. В том, что jailbreak сам сложен, мало телефонов с рутом, плюс, более жесткий контроль над установкой левых аппов.
Да в общем, ни в чем. Предупрежден - значит, вооружен.
а какой из них работает и хоть сколько-нибудь доставил проблем?
про джейл не упоминаем, на андроид можно так-же наворотить проходной двор для каждого встречного-поперечного. андроид из коробки vs iOS из коробки.
эта уязвимость конечно страшна, но учитывая, что больше половины пользователей используют телефон "позвонить/смс написать", ммс используется очень редко, месенджеры заменили ММС, так, что у многих даже не настроена служба. возможно не будет столь страшно, как лет пять-семь назад могло быть