-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Nowy bug w milionach Androidów – słuchasz muzyki? Zdalne wykonanie kodu.

01 października 2015, 18:53 | Aktualności | komentarzy 13

Jakiś czas temu donosiliśmy o podatności w bibliotece obsługi mediów na Androidzie – Stagefright. Wystarczyło wysłać do ofiary MMS-a, po czym następowało zdalne wykonanie kodu na jej telefonie (możliwość dostępu do kamery, mikrofonu, …). Niedawno pokazał się nawet gotowy exploit na tą podatność

Ale to nie koniec, właśnie opublikowano informację o dwóch nowych krytycznych błędach – jeden w komponencie libutils, drugi w znanej z poprzedniego badania bibliotece Stagefright. Wykorzystując ten duet podatności udało się pokazać przejęcie kontroli nad telefonem (zdalne wykonanie kodu) na Androidach 5.0 i wyższych (nota bene: błąd w libutils dotyczy „niemal wszystkich Androidów od wersji 1.0”).

Confirmed remote code execution (RCE) impact via libstagefright on Android 5.0 and later.

Tym razem wystarczy odtworzyć  odpowiednio spreparowany plik mp3 lub mp4 i mamy przejęty telefon (dostarczenie pliku może być różne – po prostu mailem, poproszenie kogoś o odwiedzenie strony).

Kiedy dostępny będzie patch? Odkrywcy problemu piszą tak:

We would like to thank Google for their cooperation for promptly including the fix in the upcoming Nexus Security Bulletin scheduled to be released next week.

–Michał Sajdak

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. józek

    To jest właśnie jedna z twarzy rozwiązania biznesowego, nazywającego się „aaaa po co mamy to sami robić, kupmy gotowca, w końcu jesteśmy Google, stać nas!” ;)

    Odpowiedz
  2. s

    Wg mnie dopóki w Androidzie nie poprawią architektury tak by Stagefright nie chodził z takimi uprawnieniami jak teraz to takie błędy będą się co jakiś czas pojawiać. To samo dotyczy innych elementów systemu, nie znam bebechów Androida, ale pewnie też się znajdą.

    Odpowiedz
  3. Tak

    Coraz bardziej skłaniam się do kupna Nexusa… Z drugiej strony Nexus 4 update’u do Androida 6 już nie dostanie. Co prawda obiło mi się o uszy, że jednak poprawki bezpieczeństwa jakieś będą…

    Odpowiedz
    • Tak

      Trzyma mnie stosunkowo wysoka cena. Nie jestem z tych, co wydają na telefon lekką ręką 2 tysiące. Ostatnie flagowce kosztowały nawet po 3 tysiaki…

      Odpowiedz
      • Paweł

        Tak: Jak jesteś zainteresowany Nexusem to sprawdź sobie również oneplus one oraz nowe oneplus two.

        Odpowiedz
      • ara

        dlatego za 670 zł kupilem lumie 735, ktorą poki co microsoft aktualizuje a sam wp bardzo mi pasi

        Odpowiedz
    • józek

      Pewnie mnie wszyscy zlinczują, ale… poczekaj sobie na najnowsze Lumie z Win10. Trudno to przyznać, ale Win8 ma przewagę nad Androidem w każdym możliwym aspekcie (stabilność, szybkość, czas pracy), a przegrywa tylko w ilości posiadanych aplikacji, więc z premierą Win10 powinno być tylko lepiej. Mówię to po własnych doświadczeniach z obydwoma systemami, a kupiłem Samsunga tylko po skaner linii papilarnych, którego Lumie jeszcze nie posiadają. Jak tylko wyjdzie Lumia 950, to migruję (i zamieniam linie papilarne na skaner tęczówki ;p). Dodam na koniec jeszcze tylko, że ta przewaga użytkowa Wina jest bardzo wyraźna na obecnym sprzęcie, a jak wiemy Android dostaje topowe podzespoły (8 rdzeniowe procesory, 4GB ramu etc.), a Win jeszcze nie wyszedł z 4 rdzeniowego procesora i 2GB ramu. Jak Lumia kolejna dostanie topowe parametry, to Win całkowicie zdeklasuje Androida.

      Odpowiedz
    • Dawid

      Ciekawostka: BlackBerry wydaje telefon z Androidem, a znając podejście tej firmy do bezpieczeństwa będzie on mocno połatany. Poza tym jako alternatywa są ich urządzenia z systemem BB10. Wydanie urządzenia z Androidem na pokładzie, według zapowiedzi CEO, nie oznacza rezygnacji z własnego systemu – kolejną wersję zapowiedzieli na marzec przyszłego roku. I bardzo dobrze, że go nie porzucają – osobiście używam od dobrze ponad roku (model Q10), jestem zachwycony i nie chcę zmieniać na nic innego. Sam system działa rewelacyjnie: szybko i stabilnie, a na dodatek obsługuje instalację aplikacji androidowych (sam kilku używam). Podsuwam, że warto rozważyć ;)

      Odpowiedz
      • józek

        Wszystko było fajnie z BlackBerry, gdyby produkowali telefony na poziomie Samsunga Galaxy S, a nie Nokii 2050 ;)

        Odpowiedz
        • Dawid

          Chyba BlackBerry w ręku nigdy nie miałeś :) A już na pewno nie z BB10.

          Odpowiedz
          • józek

            Tą BlackBerry Z10 co ma 1800mAh baterię, 4 rdzeniowy procesor 1.5Ghz, 2 GB pamięci o ekran 4.2″? Masz rację, nie miałem. Natomiast miałem w rękach Q20, 2GB ramu, dwurdzeniowy procesor 1.5Ghz i ekran 3.1″. Muszę przeznać, że nawet jakby mi BlackBerry dopłaciło do ich słuchawek, to nie zamienił bym swoich Xperii ani Galaxy S :)
            Moooże jak wydadzą jakiegoś 8 rdzeniowego potwora 2.2Ghz, minimum 3GB ramu, baterią 2600+ i ekranem 4.7″-5.2″, z czytnikami linii papilarnych/skanerem tęczówki oka, to się skuszę. Oczywiście, trzeba też rozumieć potrzeby konsumentów – z racji mojej wysokiej mobilności, lubię mieć internet przy sobie i to nie w celu rozmowy na fejsiku bo takowego nie posiadam, ale do sprawdzania maili, przeglądania RSSa czy zwykłych kontaków ze znajomymi z jabbera ;) BlackBerry celuje w tę grupę, która skupia się na dzwonieniu i pisaniu SMSów, z pewnością ta grupa jest zadowolona. Ja? Ja jakoś nie bardzo.

    • Może oficjalnych nie będzie, ale Nexus 4 bardzo nie odstaje możliwościami od konkurencji i na 100% doczekamy się Androida M, ale w wersji np. CyanogenMod. Ew. od kogoś innego, kto go przeportuje.

      Odpowiedz
  4. Lubię to … inspirujące

    Odpowiedz

Odpowiedz na Tak