950 миллионов Android-смартфонов оказались уязвимы к отправляемому по MMS вирусу Материал редакции

Исследовательская фирма Zimperium zLabs обнаружила в смартфонах на базе Android уязвимость, позволяющую злоумышленнику удалённо получить полный контроль над устройством через отправку по MMS специального автоматически исполняемого кода. Как рассказал сотрудник Zimperium zLabs журналу Forbes, этой уязвимости подвержен почти миллиард устройств.

Джошуа Дрейк (Joshua Drake), специалист по безопасности Android в Zimperium, обнаружил баги в медиапроигрывателе Stagefright, встроенном в мобильную операционную систему. Отправив жертве эксплойт под видом мультимедийного сообщения Stagefright, злоумышленник мог получить полный доступ к системе смартфона — для этого ему был нужен только телефонный номер жертвы.

В зависимости от приложения, используемого для получения MMS, пользователь Android мог быть как в курсе принятого сообщения, так и не узнать о его доставке в принципе. Например, в Google Hangouts вредоносный код исполнялся раньше, чем отображалось уведомление об MMS, и вирус блокировал его появление.

На смартфонах с SMS-приложением Messenger уведомление не исчезало, но пользователю было достаточно просто открыть сообщение, чтобы вирус начал действовать — никакие файлы запускать было не нужно.

На разных версиях Android эксплойт давал разные уровни контроля над смартфоном — от доступа к фотографиям или записи с микрофона и камеры до управления системными файлами. В безопасности оказались только владельцы старых Android версии 2.2 и младше, однако они составляют всего несколько десятых процента от общей массы пользователей. Часть уязвимостей была закрыта в Nexus 6, но не все из них.

Спустя три месяца после обнаружения уязвимости ни одна крупная компания, включая Google, не выпустила обновления для своих смартфонов. Зато это сделали авторы CyanogenMod.

Дрейк выслал отчёты о первых найденных уязвимостях в Google ещё 9 апреля. Спустя день компания заверила его, что приняла исправления, и пообещала включить их в следующее обновление системы.

В дальнейшем Дрейк ещё несколько раз отправлял другие найденные им баги, которые принимали в Google. Их общее число достигло семи. Корпорация заявила, что разослала обновления своим партнёрам: по ожиданиям Google, производители смартфонов должны внедрить их «в течение недель и месяцев».

Однако на 27 июля ни одна из опрошенных Forbes компаний — HTC, LG, Lenovo, Motorola, Samsung, Sony и даже сама Google — не выпустила обновления Android для своих устройств, где была бы исправлена уязвимость. В отличие от корпораций, производители CyanogenMod уже исправили эти баги.

Zimperium пообещали рассказать все подробности об уязвимости на конференции по информационной безопасности BlackHat 2015. Она пройдёт в Лас-Вегасе с 1 по 6 августа.

{ "author_name": "Никита Лихачёв", "author_type": "editor", "tags": ["\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438_\u0432_android","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0432\u0438\u0440\u0443\u0441\u044b_\u043d\u0430_android","\u0432\u0438\u0440\u0443\u0441\u044b","zimperium_zlabs","stagefright","mms","android"], "comments": 21, "likes": 16, "favorites": 7, "is_advertisement": false, "subsite_label": "tech", "id": 55821, "is_wide": true, "is_ugc": false, "date": "Tue, 28 Jul 2015 11:14:04 +0300", "is_special": false }
Комментарии

Иркутский микрофон

3

Ни разу в жизни не отправлял MMS. Когда это было в моде, я был еще слишком мелким. А сейчас эта фигня уже вымерла. Зато у меня был пейджер))))

Секретный бокал

2

А у меня MMS не загружаются и не отправляются.

Невероятный велосипед

6

MMS

2015

Технологии
дискуссии в сообществе доступны только владельцам клубного аккаунта
С клубным аккаунтом вы сможете
создавать записи и вести дискуссии в закрытых сообществах
наслаждаться нашим сайтом без рекламы
помочь проекту и почувствовать себя лучше
Купить за 75₽
Обсуждаемое
Дизайн и архитектура
Как изменились правила моды и почему больше не нужно следить за трендами, чтобы выглядеть стильно
Простые ответы и инструкция для начинающих.
Новости
СМИ: Повар Путина мог находиться на борту рухнувшего в Конго «Ан-72»
Издание Readovka со ссылкой на собственные источники, близкие к ЧВК «Вагнера», в воскресенье вечером, 13 октября, сообщило об исчезновении бизнесмена Евгения Пригожина после крушения самолета в республике Конго.
Разборы
Инструкция: как начать сортировать мусор, живя в России
Личный опыт жителей разных стран, опрошенных TJ, и сборник советов для начинающих.
Популярное за три дня
Новости
На Change.org опубликовали петицию против Вечернего Мудозвона
Автор петиции, священник-эмигрант из России отец Сергий, просит итальянские власти не предоставлять гражданство Владимиру Соловьёву. По его мнению, Соловьёв рассчитывает получить итальянский паспорт.
Истории
Жизнь на Донбассе во время войны глазами одного человека
Первая часть рассказа жителя Горловки, которая начинается с митингов в Киеве и продолжается полномасштабной войной.
Кино и сериалы
Фото: Полное воссоединение «Друзей»
Дженнифер Энистон больше не избегает соцсетей: она завела инстаграм и сделала селфи с экс-коллегами по сериалу.

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbk", "p2": "gnwc" } } } ]