Stagefright 2.0: Android obsahuje další díru. Infikovaná MP3 otevře systém útočníkům

5. 10. 2015

Sdílet

 Autor: Redakce

Experti z bezpečnostní firmy Zimperium objevili další dvě zranitelná místa v Androidu. Po aféře Stagefright přichází Stagefright 2.0. Zařízení s Androidem je možné hacknout skrze napadený soubor MP3 nebo MP4. První díra se nachází ve všech verzích Androidu (od 1.0 z roku 2008), zranitelná je knihovna libutils. Druhou chybou je postižen Android 5.0 a novější, opět se nachází v knihově libstagefright.

 

Útočníci mohou na zařízení vzdáleně spustit vlastní kód. K napadení by mělo dojít, už když software zpracovává metadata souboru, tedy tagy ve zvuku nebo videu. Takový soubor může přehrávat prohlížeč přímo na webu. Útočníci tam mohou uživatele nalákat phishingem či reklamou. Případně mohou podvrhnout komunikaci technikou man in the middle, pokud se nacházejí ve stejné síti jako uživatel. Napadnout systém je možné i přes aplikace třetích stran (IM sítě, přehrávače), které využívají oněch systémových knihoven.

Společnost Zimperium řekla Googlu o chybě už 15. srpna. Během tohoto týdne by měl Google vydat záplatu pro Nexusy, jež slabé místo v zabezpečení opraví. Stejně tak pošle opravu výrobcům, kteří pak mohou (ale nemusí) aktualizace poslat na svá zařízení.

Zdroj: Zimperium