สิ่งที่คุณต้องรู้เกี่ยวกับสเตจไฟท์ 2.0

สองสามเดือนที่ผ่านมาเต็มไปด้วยความไม่แน่นอนมากมายรอบ ๆ ประเด็นที่ชื่อ Stagefright ชื่อที่ได้รับเนื่องจากปัญหาส่วนใหญ่ที่พบเกี่ยวข้องกับ libstagefright ใน Android Zimperium บริษัท รักษาความปลอดภัยได้เผยแพร่สิ่งที่พวกเขาเรียกว่า Stagefright 2.0 ด้วยปัญหาใหม่สองประการเกี่ยวกับไฟล์ mp3 และ mp4 ที่สามารถจัดการเพื่อเรียกใช้โค้ดอันตรายบนโทรศัพท์ของคุณ

นี่คือสิ่งที่เรารู้จนถึงตอนนี้และวิธีทำให้ตัวเองปลอดภัย

Stagefright 2.0 คืออะไร

ตาม Zimperium คู่ของช่องโหว่ที่ค้นพบเมื่อเร็ว ๆ นี้ทำให้ผู้โจมตีสามารถนำเสนอโทรศัพท์หรือแท็บเล็ต Android ด้วยไฟล์ที่ดูเหมือน MP3 หรือ MP4 ดังนั้นเมื่อเมตาดาต้าสำหรับไฟล์นั้นแสดงตัวอย่างโดยระบบปฏิบัติการที่ไฟล์นั้นสามารถดำเนินการได้ รหัสที่เป็นอันตราย ในกรณีของ Man in the Middle Attack หรือเว็บไซต์ที่สร้างขึ้นโดยเฉพาะเพื่อส่งไฟล์ที่มีรูปแบบไม่ถูกต้องรหัสนี้สามารถถูกเรียกใช้งานโดยที่ผู้ใช้ไม่เคยรู้มาก่อน

Zimperium อ้างว่าได้ยืนยันการดำเนินการจากระยะไกลและนำเรื่องนี้มาสู่ความสนใจของ Google ในวันที่ 15 สิงหาคมโดย Google ได้มอบหมาย CVE-2015-3876 และ CVE-2015-6602 ให้กับคู่ของปัญหาที่รายงานแล้วและเริ่มแก้ไขปัญหา

โทรศัพท์หรือแท็บเล็ตของฉันได้รับผลกระทบหรือไม่

ไม่ทางใดก็ทางหนึ่งใช่ CVE-2015-6602 อ้างถึงช่องโหว่ใน libutils และ Zimperium ชี้ให้เห็นในโพสต์ของพวกเขาประกาศการค้นพบช่องโหว่นี้มันส่งผลกระทบต่อทุกโทรศัพท์ Android และแท็บเล็ตกลับไปเท่า Android 1.0 CVE-2015-3876 ส่งผลกระทบต่อ Android 5.0 ทุกรุ่นและโทรศัพท์หรือแท็บเล็ตที่สูงกว่าและในทางทฤษฎีอาจถูกส่งผ่านเว็บไซต์หรือมนุษย์ในการโจมตีระดับกลาง

อย่างไรก็ตาม

ขณะนี้ไม่มีตัวอย่างสาธารณะของช่องโหว่นี้ที่เคยถูกใช้เพื่อแสวงประโยชน์อะไรก็ตามนอกเหนือจากสภาพห้องปฏิบัติการและ Zimperium ไม่ได้วางแผนที่จะแบ่งปันช่องโหว่ที่พิสูจน์ได้จากแนวคิดที่พวกเขาใช้เพื่อแสดงให้เห็นถึงปัญหานี้กับ Google ในขณะที่มีความเป็นไปได้ที่คนอื่นสามารถหาช่องโหว่นี้ได้ก่อนที่ Google จะออกแพทช์ แต่รายละเอียดที่อยู่เบื้องหลังการหาประโยชน์นี้ยังคงเป็นข้อมูลส่วนตัวอยู่ไม่น่าเป็นไปได้

Google กำลังทำอะไรกับเรื่องนี้

จากรายงานของ Google การรายงานความปลอดภัยเดือนตุลาคมระบุช่องโหว่ทั้งสองนี้ แพทช์เหล่านี้จะถูกสร้างขึ้นใน AOSP และจะเปิดให้ผู้ใช้ Nexus เริ่มตั้งแต่วันที่ 5 ตุลาคม ผู้อ่านอีเกิลอายอาจสังเกตเห็น Nexus 5X และ Nexus 6P ที่เราได้ดูเมื่อเร็ว ๆ นี้ได้มีการติดตั้งการอัปเดต 5 ตุลาคมดังนั้นหากคุณสั่งซื้อโทรศัพท์มือถือของคุณล่วงหน้าฮาร์ดแวร์ของคุณจะได้รับการแก้ไขช่องโหว่เหล่านี้ ข้อมูลเพิ่มเติมเกี่ยวกับแพตช์จะอยู่ใน Android Security Google Group ในวันที่ 5 ตุลาคม

สำหรับโทรศัพท์ที่ไม่ใช่ Nexus นั้น Google ได้มอบการอัปเดตความปลอดภัยประจำเดือนตุลาคมให้กับพันธมิตรในวันที่ 10 กันยายนและได้ทำงานร่วมกับ OEM และผู้ให้บริการเพื่อส่งมอบการอัปเดตโดยเร็วที่สุด หากคุณดูรายการอุปกรณ์ที่ได้รับการแก้ไขในการใช้ประโยชน์จาก Stagefright ครั้งล่าสุดคุณจะเห็นภาพที่เหมาะสมว่าฮาร์ดแวร์ใดที่กำลังพิจารณาว่ามีความสำคัญในกระบวนการนี้

ฉันจะอยู่อย่างปลอดภัยได้อย่างไรจนกว่าแพตช์มาถึงสำหรับโทรศัพท์หรือแท็บเล็ต

ในกรณีที่มีบางคนกำลังใช้งานกับ Stagefright 2.0 เอาเปรียบและพยายามที่จะทำให้ผู้ใช้ Android ติดเชื้อซึ่งไม่น่าเป็นไปได้อีกมากเนื่องจากการขาดรายละเอียดสาธารณะกุญแจสำคัญในการอยู่อย่างปลอดภัยมีทุกสิ่งที่เกี่ยวข้องกับการที่คุณ ' กำลังเรียกดูและสิ่งที่คุณเชื่อมต่ออยู่

หลีกเลี่ยงเครือข่ายสาธารณะเมื่อคุณสามารถใช้การรับรองความถูกต้องด้วยสองปัจจัยเมื่อใดก็ตามที่เป็นไปได้และอยู่ห่างจากเว็บไซต์ที่ร่มรื่นเท่าที่จะทำได้ ส่วนใหญ่สามัญสำนึกเรื่องเว็บเพื่อความปลอดภัยของคุณ

นี่เป็นจุดจบของโลกหรือไม่?

ไม่แม้แต่น้อย ในขณะที่ช่องโหว่ Stagefright ทั้งหมดมีความร้ายแรงและจำเป็นต้องได้รับการปฏิบัติเช่นนี้การสื่อสารระหว่าง Zimperium และ Google เพื่อให้มั่นใจว่าปัญหาเหล่านี้ได้รับการแก้ไขอย่างรวดเร็วที่สุดเท่าที่จะเป็นไปได้ Zimperium เรียกความสนใจของปัญหากับ Android อย่างถูกต้องและ Google ได้เข้ามาแก้ไข ในโลกที่สมบูรณ์แบบช่องโหว่เหล่านี้จะไม่มีอยู่จริง แต่ก็มีอยู่และกำลังได้รับการแก้ไขอย่างรวดเร็ว ไม่สามารถขอมากกว่านั้นได้เนื่องจากสถานการณ์ที่เราอยู่