Lai šī tīmekļa vietne darbotos, CERT.LV izmanto obligāti nepieciešamās sīkdatnes.

Ar Jūsu piekrišanu šajā vietnē papildus var tikt izmantotas statistikas un mārketinga sīkdatnes.

Ja piekrītat šo papildu sīkdatņu izmantošanai, lūdzam atzīmēt savu izvēli:

Plašāka informācija un iespēja mainīt savu izvēli šeit.

☰
Sākums Incidenti Brīdinājumi

Atklāta bīstama ievainojamība „Android” mobilo ierīču lietotājiem

Mobilo iekārtu drošības kompānija "Zimperium" atklājusi nopietnu ievainojamību Android operētājsistēmā. Ievainojamību rada operētājsistēmā iebūvētās mediju atskaņošanas programmatūras "Stagefright" nepilnības, tādēļ ievainojamība pazīstama tieši ar nosaukumu "Stagefright".

Uzbrukums var tikt īstenots, nosūtot multivides ziņojuma pakalpojumu (MMS), kas satur ļaundabīgu kodu. Uzbrucējam pietiek zināt lietotāja telefona numuru, lai pārņemtu kontroli pār izraudzīto iekārtu. Kaitīgās ziņas saņēmējam tā pat nav jāatver, lai nodrošinātu ļaundabīgā koda izpildi. Ļaundabīgais kods izpildās brīdī, kad ziņa nonāk telefonā. Uzbrucējs var nodrošināt, ka šis MMS ziņojums, pēc nonākšanas iekārtā, uzreiz tiek dzēsts, tādejādi upuris nemaz nenojauš, ka ir saņēmis kaitniecisku ziņojumu.

Ievainojamība skar 95% lietošanā esošu Android OS bāzētu iekārtu. Apdraudējums attiecas uz visām iekārtām, kas izmanto Android 2.2 vai jaunāku versiju, bet bīstamāks tas ir iekārtām, kuru operētājsistēma ir vecāka par Android 4.1 (Jelly Bean), jo tajās nav iestrādāta pietiekama uzbrukumu novēršanas sistēma.

Kas jādara Android lietotājiem?

Pagaidām atjauninājumi, kas novērš šo bīstamo ievainojamību, pieejami tikai CyanogenMod, Mozilla un Blackphone. Pārējo iekārtu īpašniekiem rūpīgi jāseko līdzi pieejamajiem atjauninājumiem un jāveic atjaunināšana, tikko tas ir iespējams.

Līdz atjauninājumu saņemšanai ieteicams pārliecināties, ka to aplikāciju iestatījumos, kas automātiski ielādē multivides ziņojumus, kā piemēram, Hangouts, funkcija "automatically retrive MMS messages" ir atslēga.

Otrs būtisks drošības pasākums ir neizpaust savu mobilā telefona numuru publiski, bet darīt to zināmu tikai šauram cilvēku lokam.

Tehniskā informācija

Ievainojamību kopums, kas pazīstams ar nosaukumu "Stagefright":

  • CVE-2015-1538
  • CVE-2015-1539
  • CVE-2015-3824
  • CVE-2015-3826
  • CVE-2015-3827
  • CVE-2015-3828
  • CVE-2015-3829

Vairāk informācijas: http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/

Informācija sagatavota 29.07.2015.

Ziņas

Par mums

Incidenti

Pakalpojumi

Kontakti

© 2024 CERT.LV