Schwachstellen in Android "Stagefright" Code ermöglicht Kriminellen, um Malware zu jedem Benutzer per SMS senden - und der Benutzer, ohne auch nur um sie zu öffnen infiziert wird, nach einem neuen Bericht von Zimperium zLabs.
Dies ist die schwerste Android Sicherheitslücke bisher entdeckten, sagte Joshua Drake, Vice President of-Plattform für Forschung und Ausbeutung in San Francisco ansässige Sicherheitsanbieter Zimperium, Inc.
Das ist, weil der Benutzer nicht haben, etwas zu tun, um infiziert, und der Angreifer muss nicht in unmittelbarer Nähe zu dem Opfer sein.
Dies ist die schwerste Android Sicherheitslücke bisher entdeckten, sagte Joshua Drake, Vice President of-Plattform für Forschung und Ausbeutung in San Francisco ansässige Sicherheitsanbieter Zimperium, Inc.
Das ist, weil der Benutzer nicht haben, etwas zu tun, um infiziert, und der Angreifer muss nicht in unmittelbarer Nähe zu dem Opfer sein.
"Jetzt können Sie Malware direkt auf jedem Android-Gerät senden, wenn Sie ihre Telefonnummer kennen," sagte er.
In der Prototyp-Code, dass Drake zusammen, der einzige Hinweis darauf, dass es sein könnte etwas falsch ist eine MMS-Mitteilung von einer unbekannten Nummer.
Die Nachricht selbst könnte alles sein, sagte er.
Plus, da der anfällige Code ausgeführt wird, bevor die Benachrichtigung der Fall ist, könnte ein Angreifer in der Lage, sie zu beseitigen, oder löschen Sie die ursprüngliche Nachricht, so dass es keinen Hinweis auf einen Angriff sein.
Sobald die Malware installiert ist, können die Angreifer Code ausführen, auf das Internet und lokale Dateien und hören Sie das Mikrofon. Auf einigen Geräten kann der Angreifer sogar noch weiter gehen, mit ungehinderten Zugang zu Systemrechten - nur einen Schritt unterhalb Root-Zugriff.
Oder Angreifer kombinieren diese zu nutzen, um mit einem anderen Rechte ausweiten, Drake aufgenommen.
Er sagte, dass er nicht sieht keine Beispiele dafür Exploit wird in der Wildnis verwendet.
Lampenfieber ist eine Medienbibliothek, die mehrere gängigen Medienformate verarbeitet.
Wie sicher zu bleiben
Das erste, was Anwender tun müssen, ist zu aktualisieren ihre Telefone auf die neueste Software, sagte Drake.
"Die Patches werden ausbreitet, wie wir sprechen", sagte er. "Es ist ein langer Prozess, aber, und es gibt eine Menge Leute beteiligt."
Zimperium vorgelegt die erste Runde des Patches auf Google Anfang April, und einen zweiten Satz im Mai.
Nach jeder Übermittlung, angenommen und angewendet die Patches innerhalb von 48 Stunden Google.
Aber im Gegensatz zu den iOS Ökosystem, in dem Apple-Updates können gleichzeitig an alle ihre Nutzer zu schieben, haben Android-Updates durch Mobilfunkbetreiber oder Gerätehersteller zu gehen.
Drake sagte, dass er beschloss, die Sicherheitslücke zu veröffentlichen, um sicherzustellen, dass jeder bewegte sich schnell.
"Nichts leuchtet ein Feuer unter der Menschen Ärsche wie vollständige Offenlegung", sagte er. "Ich gab ihnen eine 90-Tage-Fenster. Dies folgt Google-eigenen Project Zero Offenlegung Richtlinien."
Gerade jetzt, es gibt keine Möglichkeit zu sagen, ob ein mobiles Gerät ist anfällig oder nicht, Drake aufgenommen. Benutzer können ihre Anbieter kontaktieren und fragen, schlug er vor.
Es könnte auch eine gute Idee, um die Telefone komplett heruntergefahren, bevor er in sensiblen Sitzungen, fügte er hinzu.
"Ich habe ein paar Orte, wo sie sammeln die Telefone, bevor Sie in Sitzungen gehen zu sehen", sagte er. "Ich denke, das ist eine gute Idee. Treffen sind ein Ort, wo die Menschen sollten auf einander zu konzentrieren. "
No comments:
Post a Comment