Video: Stagefright Demo by zLabs (Kasım 2024)
Heartbleed'in üstüne gelin, yüz milyonlarca insanı içine alma potansiyeli olan, uğursuzca adlandırılmış yeni bir dijital tehdit var. Buna Stagefright denir ve bilgi güvenliği topluluğu, 950 milyon Android telefonun bu istismara açık olma riski taşıdığından korkuyor.
Çoğu Android kesmesi, en azından kurbanların kötü amaçlı yazılım indirmeye kandırılmaları gibi bir tür hata yapmalarını gerektirse de, Stagefright güvenlik açığı, kullanıcıların ne yaptığından bağımsız olarak neredeyse bir milyar Android telefonunda olabilir. Ve bu kadar büyük bir kırılganlığın ardındaki asıl suçlu nedir? Android parçalanmasının devam eden sorunu.
Bol şanş
İsrailli kurumsal mobil güvenlik şirketi Zimperium'a göre, Stagefright'ın telefonunuza bulaşması korkutucu derecede kolay. Hatalı Google'ın açık kaynak medya kütüphane kodunda yakın zamanda tespit edilen bir kusur, saldırganların cihazınıza yalnızca kısa mesaj göndererek kod çalıştırmasına olanak tanıyor. Stagefright güvenlik açığı, bir telefonu ve verilerini bir saldırganın insafına yerleştirmek için kullanılabilir. Rehber, kamera, mikrofon ve fotoğraflar bilgisayar korsanının kontrolü altındadır. Yine, bunların hepsi tamamen burnunuzun altında olabilir. İhlalin gerçekleştiğine dair dış işaret yok.
Kendinizi Stagefright'dan korumanın birkaç yolu vardır. Hangouts uygulamasında Ayarlar'a gidin, SMS'i seçin, Hangouts'u varsayılan SMS uygulamanız yapın ve "MMS'i otomatik al" kutusunun işaretini kaldırın. Artık gelen MMS mesajlarını görüntüleyebilir ve şüpheli herhangi bir şey indirmekten kaçınabilirsiniz. Ancak bu, gizli bulaşmaları kalıcı olarak önleyebilse de, bu tam bir çözüm değildir. Düzenli bir SMS uygulamasında yanlışlıkla kötü amaçlı bir metni yine de okuyabilirsiniz.
Görsel bir açıklama için, geliştirme aşamasındaki mobil uygulamaların Stagefright gibi istismarlara karşı güvenli olmasını sağlamak için kod güvenliği analizi sağlayan Checkmarx'tan bu şemaya bakın.
Bölünmüş kişilik
Ne yazık ki, saldırganların Stagefright'ı sömürmesini önlemenin en kolay yolu Android sahiplerinin büyük çoğunluğu için erişilemez. Bir Google Nexus telefonunuz veya Android çalışan herhangi bir cihaza sahipseniz, büyük olasılıkla bu suistimali azaltan bir güncelleme almışsınızdır. Bununla birlikte, telefonunuz en son güncellemelere erişemiyorsa, ne kadar süre olduğunu bilenlere karşı savunmasız kalırsınız. Yapabileceğin hiçbir şey yok. Telefonunuzu yönlendirmek ve sorunu kendiniz düzeltmek istemeniz yeterlidir. Veya bir iPhone satın alın.
Stagefright tehlikelidir, ama aynı zamanda sinir bozucu çünkü bu kadar büyük bir risk haline gelmesi için hiçbir neden yoktu. Bu güvenlik açığının keşfedilmesi ve geliştirilmesinde daha önce ele alınması daha iyi olurdu, ancak en azından Google hata için hızlı bir düzeltme eki yayınladı. Bununla birlikte, Android çok parçalı olduğu için, mobil işletim sisteminin kendi ince ayarlı versiyonunu çalıştıran pek çok farklı cihaz bulunduğundan sayısız kullanıcı, tamir bile uyuşuk donanım üreticileri tarafından kendilerine sızıncaya kadar sayısız kullanıcı güvenli olmayacaktır. hiç tamir etmeyin. Android'in açıklığının, iOS'un sahip olmadığı özgürlükler ve faydalar sağladığını iddia edebilirsiniz, ancak bu, Google'ın platformu üzerinde daha fazla kontrol sahibi olması için herkes için en iyi şeyin olacağı bir durumdur.
Stagefright, önümüzdeki hafta Black Hat'ta mutlaka dikkatini çekecek. Yaklaşan bilgisayar güvenliği konferansı hakkında daha fazla bilgi için PCMag.com sayfasını okuduğunuzdan emin olun.
