Google не может исправить уязвимость stagefright
В конце прошлого месяца поступила информация, что около миллиарда смартфонов под управлением ОС Android подвержены уязвимости называющиеся Stagefright, которая разрешает взломать устройство посредством MMS-сообщения, к которому крепится мультимедийный файл с вредоносным кодом. В зависимости от модели смартфона преступники приобретают доступ к микрофону,камере , внешнему накопителю данных а также права суперпользователя.
Гугл и последовательность больших производителей без промедлений отреагировали на эту проблему, объявив, что они уже выпустили исправление, и собираются каждый месяц обновлять совокупность безопасности для собственных устройств. Однако, неточность так и не была исправлена.
Смотрите кроме этого: Уязвимость Stagefright сейчас распространяется через аудиофайлы
В августе этого года Интернет всколыхнула новость о наибольшей в истории ОС Android уязвимости называющиеся Stagefright, которая имела возможность нанести вред 95% мобильных устройств под управлением ОС от Гугл. Кое-какие компании, включая Гугл, Samsung и LG, взялись за исправление данной неприятности и начали выпуск ежемесячных обновлений безопасности для собственных устройств. Считалось, что неприятность была устранена, но хакеры решили не сидеть без дела и нашли новый метод передавать девайсы под управлением Android.
Как информирует BBC, компания Exodus, специализирующаяся на безопасности, объявила, что обновление от Гугл даёт пользователям фальшивое чувство безопасности. Эксперты данной компании без неприятностей смогли обойти защиту Гугл, применяв уязвимость Stagefright.
Общественность в целом уверен в том, что сегодняшний патч защищает их, в то время как в действительности это не верно, — сообщается в блоге компании Exodus.
Наряду с этим представители Гугл уверяют, что их исправление закрыло уязвимость Stagefright в более чем 90% устройств линейки Nexus. Они утвержают, что Android-пользователи защищены функцией безопасности называющиеся ASLR (address space layout randomization), которая значительно усложняет жизнь хакерам.
Патч включает лишь 4 строки кода, каковые, предположительно, были рассмотрены инженерами Гугл перед отправкой. В случае если Гугл не имеет возможности показать свойство успешного исправления уязвимости на устройствах собственных клиентов, то на что остаётся сохраняет надежду остальным?, — говорят представители Exodus.
Примечательно, что в Exodus уверены, что в Гугл знали об данной уязвимости в течение более 120 дней, но не исправляли её. Возможнее всего, что неприятность более важная, чем ожидалось, и компании требуется больше времени, дабы исправить её.
Источник: bgr.com