Sledujte nás na YouTube

Téměř miliarda zařízení s Androidem má bezpečnostní problém: Lze je napadnout jedinou MMS

Společnost Zimperium Mobile Security, která se zabývá bezpečností mobilních platforem, objevila poměrně zásadní chybu v zabezpečení systému Android, dokonce o ní hovoří jako o nejhorší dosud nalezené chybě v zabezpečení Androidu. Míra nebezpečí je velmi vysoká, neboť útočník nepotřebuje žádnou spoluúčast majitele telefonu, jediné, co potřebuje, je znát jeho telefonní číslo.

 
Chyba využívá multimediální knihovny Stagefright 

Poté postačí zaslat multimediální zprávu s modifikovaným souborem, a pokud má příjemce nastavené automatické stahování příloh, může útočník dostat přístup k důležitým funkcím telefonu včetně fotoaparátu a mikrofonu. Na 50 procentech zařízení je údajně tímto způsobem získat přístup s vyšším oprávněním a převzít nad zařízením úplnou kontrolu. Inteligentní kód dokonce může příchozí zprávu smazat hned po jejím přijetí, tudíž se příjemce nemusí o infekci ani dozvědět. Problém se netýká jen MMS, nebezpečný kód z upraveného multimediálního souboru je možné „získat“ i při prohlížení videa ve webovém prohlížeči.

  

Počet zneužitelných zařízení se odhaduje na 950 milionů, což je prakticky každé zařízení s Androidem. Zranitelné jsou všechny verze Androidu včetně těch nejnovějších, největší riziko se týká verze 4.2 Jelly Bean. Objevitelé chyby již předali Google všechny informace, a také vytvořené záplaty, které Google do 48 hodin začal interně testovat. Bohužel aktualizační proces je u systému Android poměrně zdlouhavý a vyžaduje součinnost s mobilními operátory, tudíž je vysoce pravděpodobné, že zařízení staršího data výroby se opravy nedočkají vůbec.

Jakub Karásek

Redaktor serveru SMARTMania.cz, příznivec mobilních technologií, konvertibilních zařízení a bezdrátového nabíjení, fanoušek tvrdé hudby a milovník rychlé jízdy v motokárách, na kole a na lyžích. Odpůrce FUPu, pomalého internetu a přerostlých tabletofonů.

64 komentářů

  1. vlada (neregistrovaný)

    Problem se tyka MMS, nikoli SMS jak uvadite.

    • vlada (neregistrovaný)

      A dovolim si citovat Vratislava Jindru [odkaz]

      V článku na Forbes se píše:

      „He said devices running Android versions prior to Jelly Bean, version 4.1, representing roughly 100 million devices, have “inadequate exploit mitigations” that wouldn’t prevent Stagefright attacks over MMS.“

      Nebyl jsem si jistý, jestli „Android versions prior to Jelly Bean“ znamená předchozí verze Androidu včetně Jelly Bean, nebo jestli se tam Jelly Bean nepočítá, tak jsem si to našel. Podle výkladu fráze „prior to something“ ([odkaz] to znamená „before something happened or existed“. To podle mě znamená „předtím než se něco stalo nebo existovalo“, v našem případě tedy „předtím, než existovala verze Androidu Jelly Bean. Překlad celé té citované věty z původního článku by měl tedy znít nějak takto:

      „Řekl, že přístroje s verzemi Androidu staršími než je Jelly Bean, verze 4.1, což je zhruba 100 milionů přístrojů, mají „neadekvátní prostředky zabraňující zneužití rizika“ které by předcházely útokům Stagefright přes MMS.“

      Podle aktuálního podílu aktivních verzí Androidu ([odkaz] je ohrožených 11% přístrojů – Android Froyo, Gingerbread a Ice Cream Sandwich. Nejnovější z toho, Ice Cream Sandwich, 4.0.4, byl přestavený před více než třemi lety, 29. března 2012. Google na svých stránkách ([odkaz] uvádí, že podpora přístrojů Nexus je minimálně 18 měsíců – tedy rok a půl.

      Takže si to shrňme. Pan Joshua Drake, si vzal tři roky starou verzi OS, která už není dále updatována, a našel v ní bezpečnostní díru. Sám řekl, že prováděl testování na přístroji s Androidem 4.0.4, a na Forbes se mimo jiné píše „He believes as many as 950 million Android phones could be affected.“

      „He believes“, „could be“ – tohle mi stačilo. To, že by měly být ovlivněné i novější verze, nemá nijak podložené. Navíc pak řekl tu větu (viz „prior to Jelly Bean“), ve které popírá ohrožení novějších verzí.

    • JP23 (neregistrovaný)

      The library (Stagefright) is not used just for media playback, but also to automatically generate thumbnails or to extract metadata from video and audio files such as length, height, width, frame rate, channels and other similar information. This means that users don’t necessarily have to execute malicious multimedia files in order for the vulnerabilities found by Drake to be exploited. The mere copying of such files on the file system is enough.

      Drake told PC World that the Nexus 6 was the only device in Google’s range to have received fixes so far, and on his blog post, he even includes screenshots captured on a hijacked Nexus 5 running the very latest Android release, 5.1.1 Lollipop.

      Todle mluví za vše…

  2. htcjirka (neregistrovaný)

    Opět děravý Android, vizitka tohoto výtečného/nebezpečného OS.

    • cardi (neregistrovaný)

      No jiste ty blbinku :D tak sup a ukaz se jak se nabouráš do mojeho :) cekam…opět nic? ach jo :(

    • cardiwtf (neregistrovaný)

      Daj sem t.č. A neni problem.

    • Radin (neregistrovaný)

      tak co je s tím číslem?

    • Honza (neregistrovaný)

      Můsíš pár dní počkat. Cardovi se asi zaseknu jeho LagDroid z tržnice :D

    • Martin (neregistrovaný)

      Proč by vám ho dával, musíte si ho zjistit, to je neoddělitelná součást nutná pro útok.

    • Honza (neregistrovaný)

      Ovšem to nemá nic společného s daným problémem… takže trochu offtopic.

    • Martin (neregistrovaný)

      To znamená jen to, že problém prakticky neexistuje, jedná se o nafouknutou bublinu jako vždy a pravděpodobnost se rovná nule.

    • Honza (neregistrovaný)

      Ano, nejlepší řešením je problém přehlížet a říkat, že vlastně o nic nejde. To je myšlení pokrokové a určitě povede do budoucna ku prospěchu uživatelů a k jejich bezpečnosti s přihlédnutím k vývoji ve sledování a ztrátě soukromí a bezpečnosti osobních dat… boha jeho…

    • Martin (neregistrovaný)

      Především by sis z toho neměl hned cvrnknout do kalhot a uvědomit si, že je stále několikanásobně vyšší pravděpodobnost, že se člověk stane obětí vraždy.

    • Honza (neregistrovaný)

      A kdo ti dělal tenhle průzkum? Babička? Aha… tak to asi jo. Navíc si nepochopil, co jsem psal. Jde o ten trend být neustále v kontaktu s internetem a ve svých chytrých zařízeních nosit dost citlivá data. Když každému bude dnes jedno, že jsou ty systémy děravý a ještě je budou vychvalovat tak to potěš koště za pár let. Prostě lidská hloupost je někdy zarážející… snad na to jednou přijdeš i ty.

    • Martin (neregistrovaný)

      Ty by ses měl místo toho kvičení naučit alespoň elementární základy bezpečnosti používání internetu, protože vždycky je zapotřebí k úniku dat blbost uživatele. Nikdo tě za ručičku vodit nebude, to si musíš uvědomit, pokusy něco prolomit tady budou vždycky a až pak bude následovat záplata. K čemu ti bude auto se sebelepšími bezpečnostními prvky, když budeš řídit jak debil?

    • Honza (neregistrovaný)

      To auto je dobrý příklad. Najezdím denně mnoho desítek kilometrů, někdy i pár stovek a už jen proto, že vím, jaký lidi na silnicích jezdí a co vše se tam stává, fakt bych to nechtěl jezdit Stodvacítkou nebo Favoritem a to nemyslím kvůli prestiži nebo jízdě samotné (ikdyž to taky). Ale hlavně v případě, že někdy sebevětší opatrnost jednoho nemusí znamenat, že se nic nemůže stát. A s telefonem je to podobné, můžeš být s Droidem opatrný, jak chceš, stejně se tam na pozadí dějí věci, které normálním lidem musí vadit. Viz různé kauzy o sledování i samotnými výrobci a o odesílaní vyfocených fotek na vzdálené servery na pozadí telefonu bez vědomí uživatele a podobně. Jestli s tímhle chcete pracovat, je to vaše věc, ale mě to přijde hloupé. Ikdyž mi filozofie Apple není příliš po chuti, tak nebýt WP-W10, je iOS jediná možná volba, když BB pomalu zavírá krám…

    • htcjirka (neregistrovaný)

      Další bezpečnostní problém Androidu [odkaz] S Androidem je zjevně člověk otrokem systému, o bezpečí se nedá vůbec hovořit.Kdo používá Android stává se dobrovolně „děvkou“ a otrokem reklamní agentury.

    • Michal (neregistrovaný)

      Lepší, než dělat užitečnýho idiota Microsoftu, tak jak to předvádíš ty.

    • Honza (neregistrovaný)

      Když už dojdou argumenty, tak nadávky to jistí, že? To sis pěkně ulevil a zahřál své zkroušené ego..

    • Mr. Arakin (neregistrovaný)

      Honza: mas pravdu, bohuzel u jirky nic noveho.

    • Honza (neregistrovaný)

      To bylo na Michala a ne na Jirku.

    • TomasSX1 (neregistrovaný)

      Jirka: User je otrokom systemu (Andoridu) uz len z dovodu ze si tam nic nemoze bez uvazenia instalovat/odinstalovat lebo si tym zaserie system a laguje este viac ako laguje v stock. Uz len toto si Andorid nevie ustrazit a kde co ma pristup kde kam a robi len bordel. A po odinstalovani app adnroid ani poriadok nevie urobit za appkou.

  3. Honza (neregistrovaný)

    Celý tenhle pseudo OS je k smíchu… je v něm víc děr, bugů a lagů, než imigrantů v Athénách…

  4. egee (neregistrovaný)

    WHHE co je vYzitka ? Pravopis je vizitka pisatele.

    HTCJirko jsi už trapný na všech fórech. [img][odkaz] to je ukázka dokonalosti.

    Stále jsou dlaždice čekankou a dlouho ještě budou. Trh určuje co je dobré a čísla prodejnosti dlaždic jsou k smíchu. Jenom blbec si koupí mobil který neumí to co starý symbian.

    • whh (neregistrovaný)

      Aha symbian mel kompletní synch systemu? Univerzalno aplikace, záloha do cloudu, myši klávesnice , tisku, usb, mel nějakou asistentku, . Když tohle je jen vycet věci co umi wp a třeba iphone ne, je ios cekankou? Přestaňte prosím akorát ukazuješ jak wp neznas jen si potřebujete rýpnout.

      Hele Pisu to na rychlo telefonu .

    • whh (neregistrovaný)

      Vim ze něco z toho ios ma ale byl to jen priklad, třeba si to dej do comparison s symbianem.

    • whh (neregistrovaný)

      A ze trh určuje co je dobre to nemyslíš vážně.

    • Honza (neregistrovaný)

      Jistě trh určuje, co je dobré… :D tahle věta jasně definuje toho, co ji píše :D Pán má hluboké ekonomické a marketingové smýšlení… Asi na úrovni batolete :)

  5. egee (neregistrovaný)

    Výše popsanou chybou jsou ovlivněny smartphony s Androidem 2.2 a výše. Nejrizikovější skupinou jsou modely s Androidem před verzí Jelly Bean (což je zhruba 11 procent všech Androidů). Více na: [odkaz]

    Kolik lidí má ještě Jelly Bean ?

    • kucikk (neregistrovaný)

      Rád ti odpovím. Jelly Bean má ještě 37% zařízení. KitKat má nainstalováno jen o 2% zařízení více. A nejnovější verzi (Lollipop) používá podobná skupina jako verze před Jelly Bean, tedy 12%. Viz [odkaz]

  6. egee (neregistrovaný)

    HONZA

    kdyby ty dlaždice byly tak skvělé měl by je každý – proč je ale nemá ? Jsou drahé ? Proč se teda nekupují tak jako ostatní systémy – ekonome projev se teda. Podíl dlaždic na trhu je znám.

    • Honza (neregistrovaný)

      Když ti nedochází, že prodeje dělá marketing miliardový do něhož investuje spousty výrobců, prodejců a operátorů, trh je zasycen jedním a tím samým, těžko v tomhle prosadit jinou platformu, ikdyž bude sebelepší. Kdyby Google prodával telefony sám, jako MS, kolik u nás máme telefonů řady Nexus? Výrobci a marketing, to je hlavní síla Droidu. Těžko konzumní společnost si koupí něco jiného, než vidí v televizi. WP – W10 si pořídí někdo, kdo se o to aktivněji zajímá a takových není mnoho. Tahle problematika je složitější a asi nemá cenu ji vysvětlovat někomu, kdo si myslí, že nejprodávanější = nejlepší. Fábie je nejprodávanější auto u nás, tak je u nás taky nejlepší? Levné potraviny, které jsou tvořeny z náhražek a aromat jsou nejprodávanější, taky si myslíš, že jsou tedy nejlepší? Škoda slov…

    • Lister0 (neregistrovaný)

      „kdyby ty dlaždice byly tak skvělé měl by je každý“ – hloupá argumentace. Opravdu to už neříkejte. Kvalita produktu je jen část. Udělejte si doma něco superkvalitního, třeba skvělou zdravou zmrzlinu a běžte ji prodat do stánku někam na trh. Koupí si to pár lidí a řeknou, že je to nejlepší zmrzlina, jakou kdy jedli. A teď otázka – když máte tak skvělou zmrzlinu, jaktože vaši zmrzlinu nejedí už všichni? Až si tohle uvědomíte, zjistíte odpověď i na vaši otázku ve vašem příspěvku.

    • Kapitán Jeskyňák (neregistrovaný)

      To mi ale vysvětli, proč má M$ takový potíže s marketingem, když je to kolos, který může do marketingu napumpovat miliardy. Navíc většina uživatelů má widle na kompu, takže to není žádná garážová firma, co potřebuje prorazit… Ten problém je jinde. Přišli pozdě a přinesli produkt, který v zahraničí vyvolal vlažné přijetí, jinak řečen: „no, nic moc“.

    • Tom (neregistrovaný)

      Nabídnu ti mnohem pravděpodobnější variantu proč se WP plácají na těch 3-4% trhu…Nikoliv proto že by jim někdo bránil v rozkvětu,ale prostě že celková logika OS a dlaždice jako takové jsou špatné….Lumii mají v každém větším krámu,recenzi na netu je nepočítaně.Ono je to spíše tak že dlaždice jsou propadák na telefonech,jsou propadák na tabletech a o fiasku na desktopu nemá ani smysl psát.

      Vzhledem k tomu že MS. začíná vydávat aplikace pro Android pomalu dříve než pro vlastní OS :),to vypadá pomalu na přípravu že mobilní oblast zabalí zcela.

    • uni (neregistrovaný)

      Tom (neregistrovaný): jj, geniální dlaždice. Proto kampaň Windows 10 (PC) hovoří „vše začíná od startu“:D

    • Mr. Arakin (neregistrovaný)

      Tom: ms se na to pripravuje uz delsi dobu a je jasne, ze neformalne to uz zabalil. Pouze to nekteri nechteji videt.

    • Luky (neregistrovaný)

      MR. ARAKIN spíš ty by si to měl už konečně zabalit, tragéde. Napiš si raději mamince o nový a super moderní Samsung, co jsi viděl v reklamě, místo psaní do diskuzí. Svou nepřítomností zde uděláš lidem velkou službu.

    • Mr. Arakin (neregistrovaný)

      Luky, pouze tady davas nestydate najevo svou omezenost. Ja patrim k nejvetsim kritikum Samsungu a prohlasuji ho opakovane za nejvetsiho skudce Androidu, protoze kvuli nemu pak prostacci jako ty na Android nadavaji, ze je pomaly. Ale, chapu, ze ve svych trinacti letech kontext nevidis a nechapes. Priste nez neco napises, zkus se lepe pripravit, at nejsi k smichu.

    • WQ (neregistrovaný)

      Tom. Kvuli tomu to ani tak neni. Koncept systemu, proc by mel byt spatnej? Je to jako Android ci iOS to prostředí, jen ve tvaru dlaždic.

      Na tabletech je poměrně popuzlarní.

      MR. Arakin. Kde to balí?

    • Mike Litoris (neregistrovaný)

      Jestli je na tabletech popuzlarni nedokazu odhadnout, bohuzel neni popularni na telefonech a to je skoda, protoze konkurence je potreba. Na trhu uz je delsi dobu, ale lidi nepresvedcil. A ja jsem na nej slysel od jeho majitelu chvalu, ale i nadavky. Tak 50/50. Takze taky zadna slava.

    • Mr. Arakin (neregistrovaný)

      WQ: tuhle tvou otazku budu brat jako recnickou. Ze vyklixibpole mobilu nevidi jenom slepy. Ale to jsrm si tsdy rekli uz hodnekrat.

    • Wq (neregistrovaný)

      Aha. Akorát ze telefony jen potrebuje. Nedíváš se na to z pohledu ms jako šéfa ne jen akcionaru.

      Ty by jsijakofirma chtě byt jedinej co nemá kompletní system i s telefony. Apple s mačem, google se svými notebooky, ms s pc.

    • TomasSX1 (neregistrovaný)

      Arakin: daj si tie svoje tabletky. Uz vidis halucinacie ohladom konca Windows pre mobilne systemi.

  7. egee (neregistrovaný)

    [odkaz] Máš k tomu vysvětlení ? Po krátké době tu máme opět pravidelné statistiky podílů jednotlivých operačních systémů na globálních trzích. Tentokrát samozřejmě nechybí podíly za celý rok 2014. Ty ukazují, že Android nadále posiluje a naopak systému Windows Phone se nedaří držet krok s rostoucím konkurencí a ztrácí svůj tržní podíl……

    • Lister0 (neregistrovaný)

      Čísla známe. Co tím chcete říct?

    • Tom (neregistrovaný)

      Ne ani na Tabletech se dlaždicím nedaří…

      [odkaz]

      Podle tohoto patří Win. mezi ,, ostatní“ a má celé 2%

      Na mobilech 5,6%.Opravdu někdo veří tomu že MS.bude věčně dotovat mobilní divizi? Podle všeho má MS.mobilů plné zuby a pokukuje po tvorbě aplikací na Android…

      Mohu se zeptat…Kde měl koncept dlaždic úspěch? Desktop nic,mobil skoro nic,tablet vůbec nic….Není čas hodit koncept dlaždic kamsi a začít nanovo?

    • Mr. Arakin (neregistrovaný)

      Tome: to jsou starsi cisla. Za cely rok patrilo tabletum s Windows 5% trhu cili se jim darilo vyrazne lepe nez telefonum, s necelymi 3 procenty. I tak to ovsem neni nic svetoborneho. Kazdopadne na tabletech je alespon nejaka sance, ze neupadnou v zapomneni, tak jak se to deje na mobilech. Jinak ano, na pc byly dlazdice pruser, ktery malem polozil nekolik velkych vyrobcu pocitacu. Nastesti si vynutili u ms moznost dodavat dualboot s W7.

    • wtf (neregistrovaný)

      a s čim chceš začať ? to si fakt taky idiot že si mysliš že dlaždice su problem systemu :D aha dalej netreba reagovať

    • Tom (neregistrovaný)

      Můžeš se vztekat jak chceš,ale fakta neovlivníš…

      Celkové pojetí posledních Win. jsou podílem na trhu propadák na desktopu,na mobilech je to totální průser a tablety pokuď mají jenom pět procent nemenší:) Stavem WM/WP je klinická smrt.Co bude po 10. je otázka.Osobně myslím že NIC.Prostě MS.zamáčkne slzy za vyhozené miliardy a začne na plno vypouštet pouze aplikace na ostatní platformy.

    • Luky (neregistrovaný)

      Je to tak, na světě je daleko víc hlupáků a proto je taky daleko víc prodaných Androidů. MS nepřevychová konzumní společnost, to asi vážně ne.

    • Mr. Arakin (neregistrovaný)

      Luky: jo, klidne se chlachol tim, ze uzivatele konkurencnich platforem jsou hlupaci. Svedci to vsak jenom a pouze o hlouposti tve vlastni. A tu tady davas na odiv dnes a denne.

    • dk (neregistrovaný)

      To jsou fakt názory…

      Nemam třeba příliš rad google aletakovevejmysly o něm potrebu psat nemam.

  8. steelspace (neregistrovaný)

    Většina uživatelů se o té chybě vůbec nedozví. Tak proč se namáhat s opravou.

    • kucikk (neregistrovaný)

      I sám Google si určitě přeje, aby se o té chybě většina uživatelů vůbec nedozvěděla. Proto by bylo lepší jí opravit, než bude viditelně zneužitá.

    • uni (neregistrovaný)

      LOL, když měl chybu Apple u SMS (tedy nejen Apple) tak oheň na střeše, u Google vlastně o nic nejde… tak to tedy ROFL:)

    • TomasSX1 (neregistrovaný)

      Ved prave. Android je dervy jak emental, je tym postihnuty miliarda uzivatelov a oni nad tym kivu rukou ze to nic. To je Google a jeho pouzivatelia.

    • uni (neregistrovaný)

      TomasSX1: Já bych Google rád někam poslal, ale když CyanogenMod není schopen připravit systém pro můj model…

  9. JacobM (neregistrovaný)

    Chtěl bych se zeptat jak se ten malwer v telefonu projeví? Děkuji

    A přišla mi sms od cisla 2448 a byli tam napsané nějaké nesmysli ale žádná příloha

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *