Lámpaláz a köbön: nyakunkon a Stagefright-sebezhetőség
Tegnap óta ettől égnek a vonalak minden fronton: a Zimperium szoftverbiztonsági cég egyik embere (emlékeztek talán, ők rajták össze a felhasználóbatát hekkerappot is) elárulta a sajtónak, hogy bombahírrel készül a közelgő Las Vegasi hackerkonferenciára: olyan sebezhetőséget találtak az Androidban, amivel
- egy szimpla MMS-sel
- lényegében minden androidos telefont 2.2-es verzió fölött
- teljesen meg lehet szállni, minden adat, beszélgetés, stb lefülelhetővé válik.
A részleteket majd jövő hét csütörtökön, a konferencián árulja el, addig is mindenkinek jó éjszakát.
Érthető módon a sajtó így reagált:
és nem is igazán hibáztathatjuk, ez durva. Nézzük meg kicsit alaposabban az ügyet, és járjuk körül, hogy mit tehetünk ellene, avagy mit tesznek mások értünk.
Először is, ahogy írtam, a vírushordozó trója faló ez esetben egy MMS üzenetbe ágyazott videó, amit az Android ma már ősrégi, Froyo verziójában bevezetett, a rendszer terhelését csökkentendő Stagefright (lámpaláz) nevű modul előre beolvas. Ennek köszönhetően a videóba rejtett kód aktiválódik, egyes esetekben akár anélkül, hogy megnyitnánk a kérdéses üzenetet. A telefonunk tehát már fertőzött lehet, mire a kérdéses videót egyáltalán megnézzük (bár a vírus el is tüntetheti maga után a falovat).
Persze a Google egyik szóvivője is üzent az ügyben (ők egyébként már április óta tudnak a sebezhetőségről, a Zimperium nekik szólt először):
Jelentette, hogy már elküldték a szükséges javításokat az érintetteknek, egyébként pedig az Android nagyon biztonságos, pl. sandboxban működnek az alkalmazások, így nem férhetnek hozzá egymás adataihoz. (Ez a hírek alapján nem igazán releváns...) Emellett még egy kicsit hegedült azon, milyen szép dolog a nyílt forráskód, hiszen így a közösség is segíthet a problémák felderítésében, éppen ezért ajánlottak mindenféle díjakat a sebezhetőségeket találók számára. Adás vége.
"Hurrá, a gyártók már megkapták a javítókódot. Akkor mincs mit tenni, csak feltelepíteni a legújabb frissítést a telefonomra, nem igaz?" (Itt most mindenki, a vérmérsékletének megfelelően vagy húzza össze rosszallón a szemöldökét, vagy csapkodja a térdét harsányan kacagva).
Tehát megint belebotlottunk, az Android kriptonitja, a fragmentáció mumusába. Jól tudjuk, hogy a készülékek túlnyomó többségét már a büdös életben nem fogják frissíteni, még csak egy vacak biztonsági patch erejéig sem, de még az aránylag friss telefonok esetében is hónapokig tarthat egy update kitolása - és akkor még nem is beszéltem a szolgáltatók tököléséről.
Szóval magad, uram, ha szolgád nincsen.
Azért nézzük meg a dolgot a félig teli-pohár szemünkkel is: a fertőzés MMS-sel terjed. MMS-sel. Persze mindenkinek más lehet a személyes tapasztalata, de én életemben vagy 3 MMS-t kaptam, és az is mind reklám volt, az utolsót talán másfél éve. Lehet, ideje lenne nyugdíjazni ezt a kommunikációs módot, azt hiszem, keveseknek hiányozna, és van helyette ezer más, jobb módja a multimédia megosztásának.
Mit tehetünk?
Először is nézzük meg, milyen appot használunk az MMS-ek (és persze SMS-ek) kezelésére. A Google Hangouts a legveszélyeztetettebb kliensek közé tartozik, ez ugyanis a háttérben már az érkezés pillanatában kinyitja az érkező multimédiát, hogy az értesítésekben kaphassunk egy kattintható előképet. Az Android default üzenetkezelője, a Messenger kicsit szerencsésebb, az ugyanis csak akkor nyitja meg a videót, ha megnyitjuk magát az üzenetet. (Mivel a sebezhetőség részletei még nem ismertek teljesen, nem tudni, vajon a gyártók saját SMS-appjai ugyanígy működnek-e).
Mindenesetre az első védelmi falunk, hogy az SMS-alkalmazásunk beállításai között megkeressük az MMS üzenetek automatikus letöltése (Auto-retrieve MMS) nevű kapcsolót és kinyomjuk, ezzel legalább azt bebiztosítottuk, hogy nem fog a háttérben elindulni a gonosztevő, ha valaki bepróbálkozna.
A második lépcső lehet az ismeretlen küldők blokkkolása, erre a Messenger alkalmazás beállításai között van lehetőség (A Sony nálam működő Messengerében nincs ilyen) - bár ez egyrészt kicsit radikális, ugyanis minden ilyen SMS-t is kiüt, ráadásul arra nem ad senki garanciát, hogy nem éppen valami ismerős számáról küldenek fertőzött csomagot.
A harmadik megoldás az MMS-ek teljes kitiltása a készülékünkről - ez persze csak azoknak lehet megnyugtató megoldás, akik, hozzám hasonlóan lényegében csak elméleti síkon ismerik ezt a kommunikációs csatornát. Erre a legegszerűbb a telefounk beállításai között a Mobilhálózatok között rábökni a Hozzáférési pontokhoz, (Access point names, APN), itt bemenni az MMS alá és simán kitörölni minden rubrikát (vagy hozzáírni, ahogy tetszik, lényeg, hogy megváltozzanak a címek, számok, legfőképp az MMSC címe). Az MMS a mobilinternettől és az SMS-től is független módon működik, így ezzel elvileg nem okozhatunk semmi zavart az erőben, csak a multimédiás SMS-eknek kell búcsút intenünk (marad helyettük a Facebook, Twitter, Google Plus, Viber, Whatsapp, s valahány név a naptárba).
Mindenesetre jövő hét végére már okosabbak leszünk a Stagefright-dilit illetően, biztos, hogy amint több részlet kiderül, hamar lesznek jobb ellenszerek, esetleg alternatív SMS-kezelő appok, vagy más trükkös megoldások.
Az is biztos, hogy ez az ügy megint csak rossz fényt vet a Google-re ás az Androidra általában, hiszen a szétforgácsolt helyzet miatt nagyon nehezen kezelhetőek az ilyen szituációk, felhasználók milliói maradnak magukra hagyva minden újabb biztonsági rés felfedezésekor. Reméljük, tanulnak belőle.
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.
András Kriston 2015.07.28. 15:55:15
Yarner · http://androlib.blog.hu 2015.07.28. 16:02:50
Darkcomet 2015.07.28. 17:53:03
Yarner · http://androlib.blog.hu 2015.07.29. 10:33:14
meglivorn 2015.07.29. 13:19:22
Persze valószinüleg a dolog ennél komplikáltabb meg mifene, végülis túl szép és túl egyszerű megoldás lenne :D
Yarner · http://androlib.blog.hu 2015.07.29. 13:43:30
Réka · http://blog.rekafoto.com/ 2015.07.29. 15:01:14
A Hangouts-t viszont sokáig használtam SMS/MMS küldésre is, a Lollipop óta viszont egyáltalán nem használom, mivel az új verzióban megjelent az invazív popup notification, szóval akkor is jött a kicsi felugró ablak, ha valamit teljes képernyős módban néztem/csináltam. Mivel utálom, ha a telefonom mondja meg, hogy mire figyeljek, azonnal felhagytam a használatával. Hasonló okok miatt töröltem a Facebook appot is: jöttek a kis popup ablakok kéretlenül, hogy pl. megválaszolatlan event invite-om van... hát 'nyád, ha kíváncsi vagyok, akkor majd kinyitom az appot, de engem írás vagy filmnézés közben ne zavarjon a saját telefonom. A Facebook remekül fut a böngészőben is és nincs több popup.