Ano ang kailangan mong malaman tungkol sa stagefright 2.0

Ang nakaraang ilang buwan ay napuno ng maraming kawalan ng katiyakan na nakapalibot sa isang serye ng mga isyu na sikat na pinangalanang Stagefright, isang pangalan na nakuha dahil ang karamihan sa mga isyu na natagpuan ay may kinalaman sa libstagefright sa Android. Ang security firm na Zimperium ay nai-publish kung ano ang kanilang tinatawag na Stagefright 2.0, na may dalawang bagong isyu na pumapalibot sa mp3 at mp4 na mga file na maaaring manipulahin upang maisagawa ang malisyosong code sa iyong telepono.

Narito ang alam natin hanggang ngayon, at kung paano panatilihing ligtas ang iyong sarili.

Ano ang Stagefright 2.0?

Ayon kay Zimperium, ang isang pares ng kamakailang natuklasan na mga kahinaan ay posible para sa isang umaatake na mag-present ng isang Android phone o tablet na may isang file na mukhang isang MP3 o MP4, kaya kapag ang metadata para sa file na iyon ay nai-preview ng OS na maaaring isagawa ang file. nakakahamak na code. Kung sakaling ang isang tao sa pag-atake ng Gitnang o isang website na partikular na binuo para sa paghahatid ng mga hindi magagandang file, ang code na ito ay maaaring maisakatuparan nang walang alam ng gumagamit.

Sinasabi ng Zimperium na nakumpirma ang liblib na pagpapatupad, at dinala ito sa atensyon ng Google noong Agosto 15. Bilang tugon, itinalaga ng Google ang CVE-2015-3876 at CVE-2015-6602 sa pares ng mga naiulat na isyu at nagsimulang magtrabaho sa isang pag-aayos.

Naaapektuhan ba ang aking telepono o tablet?

Sa isang paraan o sa iba pa, oo. Ang CVE-2015-6602 ay tumutukoy sa isang kahinaan sa libutils, at bilang itinuro ng Zimperium sa kanilang post na inihayag ang pagtuklas ng kahinaan na ito na nakakaapekto sa bawat Android phone at tablet na bumalik sa layo ng Android 1.0. Ang CVE-2015-3876 ay nakakaapekto sa bawat Android 5.0 at mas mataas na telepono o tablet, at maaaring teoretikal na maihatid sa pamamagitan ng website o tao sa gitna ng pag-atake.

PAANO.

Sa kasalukuyan ay walang mga pampublikong halimbawa ng kahinaan na ito na ginamit upang pagsamantalahan ang anumang bagay sa labas ng mga kondisyon ng lab, at ang Zimperium ay hindi nagpaplano na ibahagi ang nagpapatunay na pagsasamantala na ginamit nila upang ipakita ang isyung ito sa Google. Habang posible ang ibang tao ay maaaring malaman ang pagsasamantala sa labas bago mag-isyu ang Google ng isang patch, na may mga detalye sa likod ng pagsasamantala na ito ay pinananatiling pribado.

Ano ang ginagawa ng Google tungkol dito?

Ayon sa isang pahayag mula sa Google, tinatalakay ng Oktubre Security Update ang parehong mga kahinaan na ito. Ang mga patch na ito ay gagawin sa AOSP at ilalabas ang mga gumagamit ng Nexus simula Oktubre 5th. Ang mga mambabasa ng mata ng Eagle ay maaaring napansin ang Nexus 5X at Nexus 6P na tiningnan namin kamakailan ay na-install ang ika-5 ng Oktubre ng pag-update, kaya kung na-pre-order mo ang isa sa mga teleponong iyon ang iyong hardware ay darating na patched laban sa mga kahinaan na ito. Ang karagdagang impormasyon sa patch ay nasa Android Security Google Group sa Oktubre 5.

Tulad ng para sa mga teleponong hindi Nexus, ibinigay ng Google ang Oktubre Security Update sa mga kasosyo sa Setyembre 10, at nakikipagtulungan sa mga OEM at carriers upang maihatid ang pag-update sa lalong madaling panahon. Kung titingnan mo ang listahan ng mga aparato na naka-patch sa huling Stagefright pagsasamantala, nakuha mo ang isang makatwirang larawan ng kung ano ang hardware ay itinuturing na isang priyoridad sa prosesong ito.

Paano ako mananatiling ligtas hanggang sa dumating ang patch para sa aking telepono o tablet?

Sa kaganapan na ang isang tao ay talagang tumatakbo sa paligid na may isang Stagefright 2.0 pagsamantalahan at sinusubukan na makahawa sa mga gumagamit ng Android, na muli ay hindi lubos na malamang dahil sa kakulangan ng mga detalye ng publiko, ang susi sa pananatiling ligtas ay ang lahat ng dapat gawin sa pagbibigay pansin sa kung nasaan ka ' muling pag-browse at kung ano ang konektado sa iyo.

Iwasan ang mga pampublikong network kung magagawa mo, umasa sa pagpapatunay ng dalawang kadahilanan hangga't maaari, at manatiling malayo sa malilim na mga website hangga't maaari. Kadalasan, karaniwang pakiramdam ng mga bagay-bagay sa web para mapanatili ang iyong kaligtasan.

Ito na ba ang wakas ng mundo?

Hindi kahit na kaunti. Habang ang lahat ng mga kahinaan sa Stagefright ay talagang seryoso at kailangang tratuhin tulad nito, ang komunikasyon sa pagitan ng Zimperium at Google upang matiyak na ang mga isyung ito ay tinugunan nang mabilis hangga't maaari ay naging kamangha-manghang. Tama na tinawag ng Zimperium ang pansin sa mga problema sa Android, at ang Google ay lumakad upang ayusin. Sa isang perpektong mundo ang mga kahinaan na ito ay hindi umiiral, ngunit ginagawa nila at mabilis na tinatalakay. Hindi maaaring hilingin ang higit pa kaysa sa na, ibinigay ang sitwasyon na naroroon namin.