19/08/2015

95% telefonów z Androidem można zhakować jednym MMS-em, miliony zagrożonych

Zagrożenia

Informacja o największym zagrożeniu, jakie dotychczas wykryto, budzi niepokój wśród właścicieli telefonów z Androidem: w kwietniu 2015 roku Zimperium zLabs poinformowało o sześciu otwartych dziurach w systemie operacyjnym Google’a. Co więcej, firma ujawniła także Forbesowi, że chociaż Google rozesłał łaty do swoich partnerów, większość producentów jeszcze ich nie udostępniła, aby chronić swoich klientów. Podatności otrzymały nazwę najgorszych luk w Androidzie, jakie wykryto do tej pory.

Android_FB

Badacze bezpieczeństwa twierdzą, że narażone jest 95% urządzeń z systemem Android, czyli około 950 milionów smartfonów. Starsze urządzenia posiadające wersję Androida niższą niż 2.2 są bezpieczne, podobnie jak gadżety działające na stworzonym niedawno systemie Blackphone firmy Silent Circle, który już został załatany. Aktualizacje bezpieczeństwa dla telefonu Nexus zostaną opublikowane wkrótce.

Aby hakerzy mogli zainfekować Twój telefon, wystarczy, że będą znać jego numer. Zaczynają od wysłania na telefon specjalnego MMS-a. Niestety, aby zostać ofiarą, nie musisz otwierać wiadomości, ponieważ Twój system operacyjny zrobi wszystko za Ciebie. Przerażająco skuteczny i dyskretny atak.

Luka rezyduje w bibliotece oprogramowania Stagefright. Narażona jest także aplikacja Google Hangouts, ponieważ to ona przetwarza domyślnie wiadomości wideo i w ten sposób aktywuje wirusa.

Po zainstalowaniu się szkodliwie oprogramowanie może usuwać oryginalnego MMS-a, aby zatrzeć po sobie wszelkie ślady. Wirus może szpiegować Cię przez aparat i mikrofon w urządzeniu, publikować Twoje dane w Sieci i wykonywać inne niepożądane rzeczy.

Niedawno Google przygotował dodatkowe łaty dla swoich telefonów Nexus i obiecał opublikować je wkrótce. Niestety, jeśli nie jesteś posiadaczem takiego urządzenia, możesz nigdy nie zobaczyć aktualizacji bezpieczeństwa dla swojego telefonu. Smutna prawda jest taka, że producenci smartfonów nie zawsze i dość opieszale dostarczają łaty, zwłaszcza jeśli masz telefon starszy niż 18 miesięcy.

Tymczasem producent CyanogenModa, nieoficjalnej dystrybucji systemu operacyjnego Android, niedawno opublikował łaty. Poniżej zamieszczam kilka wskazówek, jak się ochronić, jeśli producent nie oferuje aktualizacji dla Twojego urządzenia.

  • Możesz zrootować swoje urządzenie z Androidem i wyłączyć Stagefrighta. Wtedy będziesz mógł nawet zmienić system operacyjny.
  • Możesz kupić nowy bezpieczny smartfon (cieszcie się, producenci!) i zapomnieć o sprawie do chwili, aż zostanie wykryta nowa luka krytyczna.
  • Zmień ustawienia, aby nie otrzymywać MMS-ów.

Którąkolwiek metodę wybierzesz, nie unikniesz niedogodności. Najszybszym sposobem jest wyłączenie automatycznego pobierania MMS-ów dla aplikacji Hangouts. Nie zajmie Ci to wiele czasu:

  1. Otwórz aplikację Hangouts.
  2. W lewym górnym rogu kliknij Opcje.
  3. Kliknij Ustawienia -> SMS.
  4. Usuń zaznaczenie pola Autopobieranie MMS-ów w sekcji Zaawansowane.

Jeśli używasz domyślnej aplikacji do komunikowania się, możesz to zrobić w następujący sposób:

  1. Otwórz aplikację SMS/MMS.
  2. Kliknij Menu -> Ustawienia -> Ustawienia ogólne
  3. Usuń zaznaczenie pola Automatycznie pobieraj wiadomości MMS.

Mamy nadzieję, że producenci smartfonów wreszcie zaczną traktować ten temat poważnie. Możemy także zachęcać ich, pisząc bezpośrednio na ich kontach na Twitterze.