950 миллионов Android-смартфонов оказались уязвимы к отправляемому по MMS вирусу

Исследовательская фирма Zimperium zLabs обнаружила в смартфонах на базе Android уязвимость, позволяющую злоумышленнику удалённо получить полный контроль над устройством через отправку по MMS специального автоматически исполняемого кода. Как рассказал сотрудник Zimperium zLabs журналу Forbes, этой уязвимости подвержен почти миллиард устройств.

Джошуа Дрейк (Joshua Drake), специалист по безопасности Android в Zimperium, обнаружил баги в медиапроигрывателе Stagefright, встроенном в мобильную операционную систему. Отправив жертве эксплойт под видом мультимедийного сообщения Stagefright, злоумышленник мог получить полный доступ к системе смартфона — для этого ему был нужен только телефонный номер жертвы.

В зависимости от приложения, используемого для получения MMS, пользователь Android мог быть как в курсе принятого сообщения, так и не узнать о его доставке в принципе. Например, в Google Hangouts вредоносный код исполнялся раньше, чем отображалось уведомление об MMS, и вирус блокировал его появление.

На смартфонах с SMS-приложением Messenger уведомление не исчезало, но пользователю было достаточно просто открыть сообщение, чтобы вирус начал действовать — никакие файлы запускать было не нужно.

На разных версиях Android эксплойт давал разные уровни контроля над смартфоном — от доступа к фотографиям или записи с микрофона и камеры до управления системными файлами. В безопасности оказались только владельцы старых Android версии 2.2 и младше, однако они составляют всего несколько десятых процента от общей массы пользователей. Часть уязвимостей была закрыта в Nexus 6, но не все из них.

Спустя три месяца после обнаружения уязвимости ни одна крупная компания, включая Google, не выпустила обновления для своих смартфонов. Зато это сделали авторы CyanogenMod.

Дрейк выслал отчёты о первых найденных уязвимостях в Google ещё 9 апреля. Спустя день компания заверила его, что приняла исправления, и пообещала включить их в следующее обновление системы.

В дальнейшем Дрейк ещё несколько раз отправлял другие найденные им баги, которые принимали в Google. Их общее число достигло семи. Корпорация заявила, что разослала обновления своим партнёрам: по ожиданиям Google, производители смартфонов должны внедрить их «в течение недель и месяцев».

Однако на 27 июля ни одна из опрошенных Forbes компаний — HTC, LG, Lenovo, Motorola, Samsung, Sony и даже сама Google — не выпустила обновления Android для своих устройств, где была бы исправлена уязвимость. В отличие от корпораций, производители CyanogenMod уже исправили эти баги.

Zimperium пообещали рассказать все подробности об уязвимости на конференции по информационной безопасности BlackHat 2015. Она пройдёт в Лас-Вегасе с 1 по 6 августа.