O błędzie w zabezpieczeniach systemu operacyjnego Google’a poinformował Joshua Drake, ekspert ds. bezpieczeństwa urządzeń mobilnych w Zimperium zLabs. Luka, którą ochrzczono już imieniem „Stagefright”, umożliwia przeprowadzenie ataku na smartfona z Androidem poprzez wysłanie do użytkownika specjalnie spreparowanego MMS-a. Aby umożliwić cyberprzestępcom przejęcie kontroli nad naszym telefonem, nie musimy nawet otwierać otrzymanej wiadomości.
- Luka ta jest niezwykle poważna ponieważ nie wymaga jakiegokolwiek działania ze strony użytkownika – napisał Joshua Drake. W przeciwieństwie do ataków phishingowych, w czasie których ofiara musi otworzyć plik PDF lub link podesłany przez atakującego, w tym wypadku twój telefon może zostać zaatakowany nawet wtedy, gdy śpisz.
>>> Czytaj też: Ciemna strona internetu. Czy cyberprzestępcy mogą spowodować katastrofę samolotu?
Do przeprowadzenia skutecznego ataku cyberprzestępcy potrzebny jest jedynie numer telefonu ofiary. Według ekspertów Zimperium zLabs, zainfekowane mogą zostać wszystkie urządzenia mobilne pracujące na systemie Android - od wersji 2.2. aż do najnowszej – „Lollipop” (5.1). Mówimy więc o około 95 proc. telefonów pracujących pod kontrolą systemu operacyjnego Google’a.
- Prawdopodobnie jest to największa luka w Androidzie, jaką kiedykolwiek wykryto. Już sama liczba 950 mln potencjalnie zagrożonych urządzeń świadczy o skali problemu - podkreśla Maciej Ziarek, ekspert ds. bezpieczeństwa IT w Kaspersky Lab Polska.
Użytkownikom urządzeń z Androidem pozostaje jedynie czekać na „łatkę” likwidujące niebezpieczną lukę. Z najnowszych informacji wynika, że producenci urządzeń rozpoczęli już prace nad aktualizacją systemu likwidującą feralny błąd. Jako pierwszy zrobił to sam Google. Do momentu zainstalowania takowej „łatki” warto wyłączyć automatyczne pobieranie wiadomości MMS w ustawieniach telefonu.
Maciej Ziarek, ekspert ds. bezpieczeństwa IT w Kaspersky Lab Polska
W ataku została wykorzystana luka w jednej z bibliotek używanej przez Androida (nazwa biblioteki to właśnie Stagefright). Błąd ten jest na tyle poważny, że wystarczy, że użytkownik otrzyma na swój numer telefonu, odpowiednio przygotowanego MMS-a. Nie musi wykonywać dodatkowych czynności, zatwierdzać czegokolwiek lub klikać odnośnika.
Atakujący może w ten sposób uzyskać dostęp do wielu zasobów i np. podsłuchiwać rozmowy czy wykorzystać kamerę urządzenia do szpiegowania użytkownika.
Więcej informacji uzyskamy z pewnością po oficjalnej prezentacji na konferencji BlackHat, gdzie odkrywcy luki podzielą się technicznymi detalami.
