Горячая вакансия: Инженер-схемотехник 80000


Срочно нужен инженер схемотехник! Опыт проектирования схем в Altium Designer; ТК; Подробнее здесь; Подробнее здесь

Уязвимость обнаружена специалистами компании Zimperium.
Как явствует из сообщения в блоге компании, она найдена в Stagefright — библиотеке Android, которая отвечает за обработку многих современных медиа-форматов. Самый серьезный сценарий использования уязвимости — отправка MMS-сообщения пользователю. Все, что нужно хакеру — это знать номер телефона жертвы. Отправленное сообщение может содержать особым образом составленный код, который позволит добраться до системы.
Пользователь может даже не открывать полученное сообщение
Код может быть сконструирован таким образом, что смартфон получит и обработает сообщение, а затем самостоятельно его удалит. Если такое сообщение отправить ночью, когда пользователь спит, он вообще может никогда не узнать, что его смартфон был взломан.
Чтобы запустить зловредный код, можно также заманить пользователя на особым образом созданный сайт. И не только — по словам представителей компании они нашли шесть разных способов, как можно использовать найденную в Stagefright уязвимость. Они обещают представить их на конференции Black Hat, которая пройдет в Лас-Вегасе в следующем месяце.
Уязвимость есть в 950 млн. устройств - во всем, что работает под Android 2.2 и выше
Закрыть брешь могут только производители устройств, которым надо выпустить патч. Несмотря на то, что информация об уязвимости была передана Google и другим компаниям, имеющим отношение к Android, какое-то время назад, пока брешь закрыта только в смартфоне Nexus 6, да и то не полностью. Более всего уязвимы старые смартфоны и планшеты — работающие под управлением Android 4.3 (Jelly Bean) и ниже, потому что в них нет некоторых защитных механизмов от такого типа атак, появившихся в более свежих версиях Android.
Пользователь ничего не может сделать, чтобы не стать жертвой хакеров, вооруженных знанием об уязвимости в Stagefright. Насколько известно специалистам по безопасности, пока информация о том, как эксплуатировать брешь, до хакерского сообщества не добралась. Но теперь, когда они знают, где искать, появление работающих эксплоитов — вопрос времени.
Исследователи также отмечают, что, хотя Android устроен таким образом, что программы должны находиться в своих собственных "песочницах" и работать изолированно, брешь в Stagefright можно рассматривать как широко открытую дверь в систему. Сама по себе ошибка позволяет хакеру получить лишь доступ к камере, микрофону и содержимому карты памяти. Но благодаря ей он может попробовать воспользоваться другими, уже давно существующими эксплоитами для того, чтобы получить больше возможностей в системе и попробовать взломать другие программы. Например, банковское приложение, адресную книгу, мессендежеры, почту и т.д.
Пока пользователи лишены возможности хоть как-то защититься
Пока пользователям остается лишь надеяться на то, что производители телефонов оперативно выпустят "заплатку". Но, как это часто бывает в мире Android, выпуск обновлений может затянуться, а старые модели вообще могут никогда не получить патчи. 
Еще одна уязвимость ОС Android, получившая название Certifi-gate, позволяет приложениям незаконно получать привилегированные права доступа, которые обычно используются приложениями удаленной поддержки, предустановленными на устройстве производителем или пользователем. Злоумышленники могут воспользоваться Certifi-gate для получения неограниченного доступа к устройству, что позволит им красть персональные данные, отслеживать местонахождение гаджетов, включать микрофоны для записи разговоров и многое другое. Android не предлагает способа аннулировать сертификаты, которые дают привилегированные права доступа. Без необходимых патчей или других инструментов устройство является уязвимым с самого начала использования. Эту уязвимость нельзя устранить, для решения проблемы необходимо провести обновление, при котором на устройстве устанавливается новая версия ПО, однако этот процесс может занять много времени. Android также не предложил никаких вариантов отзыва сертификатов, использованных для подписи уязвимых плагинов. Отметим, что уязвимость была обнаружена специалистами группы Check Point по исследованию мобильной безопасности, которые объявили об этом на одной из сессий конференции Black Hat USA 2015 6 августа 2015 года. Компания Check Point уведомила об обнаружении Certifi-gate всех заинтересованных поставщиков, которые приступили к выпуску патчей. Пользователи Android могут проверить наличие уязвимости Certifi-gate на своем устройстве, скачав бесплатное сканирующее приложение Check Point на Google Play.
Share on Google Plus

Что делать, если возникли проблемы на работе

Яндекс.Метрика Индекс цитирования