Теоретически, любой музыкальный трек или видеоролик может стать причиной взлома сотни миллионов смартфонов. Об этом сообщают представители известной ИБ-компании Zimperium.
В июле этого года умельцы из zLabs уже рапортовали о баге текстовых сообщений Stagefright, который, не без оснований, был признан самой большой брешью в безопасности операционной системы от Google. И вот, в начале октября, сотрудники Zimperium проинформировали общественность о пришествии Stagefright 2.0 – уязвимости, способной нанести вред практически каждому Android-девайсу в мире.
Как можно понять из названия, неприятности снова могут возникнуть при работе движка Stagefright, предназначенного для воспроизведения мультимедийных файлов. В отчете исследователей говориться о том, что были обнаружены две критические уязвимости.
Первая из них касается директории libutils и может быть опасной практически для всех устройств на Android, начиная с версии 1.0. Вторая расположена в библиотеке libstagefright и может стать угрозой для новейших гаджетов под управлением Android 5.0 и выше.
Эксплойт становится возможным, если вы открываете специально созданный MP3 или MP4 файл. Во время обработки метаданных в систему проникает вредоносный код, удаленное выполнение которого может привести к несанкционированному доступу к информации пользователя.
Но главная особенность Stagefright 2.0 в том, что уязвимость можно эксплуатировать даже при предварительном просмотре аудио или видео. Стать жертвой подобных неприятностей можно посещая сайты с подозрительным контентом или используя публичные точки доступа к Wi-Fi. Специалисты из Zimperium предполагают, что основной вектор атак будет направлен на веб-браузер, ведь Google Hangouts и Messenger уже были пропатчены нужным образом во время первого знакомства с проблемами библиотек Stagefright.
К счастью, пока нет никаких подтверждений практического использования уязвимостей. Zimperium не планирует показывать общественности «proof-of-concept», который еще в августе был отправлен в Google. Так что велика вероятность того, что недостатки движка Stagefright будут оперативно устранены, а злоумышленники не успеют воспользоваться коварной лазейкой.
Безусловно, к таким багам, как Stagefright 2.0, следует относиться серьёзно. Но, не смотря на громкие возгласы, которыми интенсивно полниться всемирная сеть, ожидать конца света или глобальной кибератаки пока не приходится. Коммуникация между Zimperium и Google отлично налажена, и реакция в виде активных действий по устранению неполадок не заставит себя ждать. Счастливым обладателям последних Nexus’ов переживать и вовсе не стоит. Вопрос в том, как быстро необходимые патчи получат владельцы более старых устройств.
Опубликовано в: 
Помечено: