Ranljivost Stagefright v sistemih Android

"Napadalci bi lahko ob uspešni izrabi ranljivosti zgolj s poznavanjem telefonske številke žrtve pridobi vsaj direkten dostop do mikrofona, kamere in medija za shranjevanje, z izkoriščanjem katere od ranljivosti eskalacije privilegijev pa lahko v nadaljevanju pridobi tudi dostop do jedra sistema," pred ranljivostjo sistema svarijo pri Nacionalnem odzivnem centru za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij (Si-Cert) ob tem pa dodajo, da se ranljiva koda se sproži ob predogledu video posnetkov. Kar bi se lahko zgodilo že ob odprtju prirejenega video posnetka, ki cam ga je napadalec poslal preko MMS sporočil, brskalnika, elektronske pošte, prenosov preko NFC in Bluetootha.

V primeru uporabe aplikacije Hangouts se ranljivost aktivira brez kakršnekoli interakcije uporabnika, v primeru uporabe privzete aplikacije za sporočila pa se ranljivost aktivira ob ogledu sporočila.

Posodobite programsko opremo!

Po navedbah Si-Cert se ranljivost še ne izkorišča v napadih, Google pa je proizvajalcem Android naprav že posredoval popravke, ki jih morajo vključiti v svojo programsko opremo in posredovati na naprave uporabnikov.

Vodja Laboratorija pri reviji Monitor Jure Forstnerič ob tem dodaja, da je večji problem, da uporabniki ne bodo naložili posodobitev operacijskega sistema.

"Take varnostne luknje se lahko uporabijo pri špijonaži"

"Je pa res, da je varnostne luknje v praksi težje izkoristiti, kot se zdi, težko, da jih bo kdo izkoristil in prevzel nadzor nad vašim telefonom. Se pa lahko to izkoristi v takih primerih, kot je bilo prisluškovanje pogovorom med Jernejem Sekolcem in Simona Drenik, ko se tega lotijo profesionalci," je ob tem še povedal Forstnerič in dodal, da običajnim uporabnikom verjetno nihče ne bo vdiral v telefon, ker nima ne potrebnega znanja ne sredstev niti časa niti razloga, lahko pa se take varnostne luknje uporabijo pri špijonaži. "Navadnemu uporabniku se tega ni treba bati, je pa pametno kljub temu imeti rezervno kopijo podatkov."