Уязвимости

Oleg Redut написал(а) к All в Jul 15 11:11:48 по местному времени:

Доброе (current) время суток, All!

"Содержащиеся в мультимедийном движке Stagefright уязвимости представляют собой потенциальную угрозу для большинства смартфонов на Android. Об этом отыскавшие брешь специалисты по информационной безопасности из команды Zimperium"

http://lenta.ru/news/2015/07/27/androidsecurity/

"Согласно отчету Zimperium, были найдены семь уязвимостей, которые позволяют удаленно взломать до 95 процентов телефонов на Android. Для этого злоумышленникам достаточно знать телефонный номер жертвы и отправить на него мультимедийное сообщение (MMS). Как заявили специалисты, для успеха не требуется, чтобы пользователь прочел сообщение и запустил прилагаемый файл, - достаточно, чтобы MMS было принято смартфоном."

Никогда не принимаю левые ммс.

Что я могу еще сказать?..
Oleg

... AKA oleg(&)redut.info AKA ICQ 28852595
--- GoldED+/W32-MINGW 1.1.5-b20120515 (пока работает)

alexander koryagin написал(а) к Oleg Redut в Jul 15 20:44:33 по местному времени:

Нi, Oleg Redut!
I read your message from 28.07.2015 09:16

Добавка с BBC:

Ошибка в системе Андроид которая была обнаружена исследователями
касается почти миллиарда устройств с Android 2.2 и выше.

Используя увязвимость можно отправлять на телефон пользователя
фотографии и видеоматериалы причем пользователь даже о этом не будет
знать. Google сделала патч, но миллионы устройств нуждаются в апгрейде.

Специалисты оценивают дефект как экстремально серьезный.

Хаккеры способны в настоящий момент посылать вредоносные коды внутри
сообщений поражая сервис с названием Stagefright. После этого данные и
приложения становятся доступными для злонамерянной модификации. Это
очень опасно потому что пользователь ни сном ни духом не в курсе, что
происходит в его Android устройстве. Даже видеокамера может быть
несанкционированно включена.

Все за патчем!

Подробности будут через неделю на прессконференции в Лас-Вегасе.

-----Beginning of the citation-----
http://www.bbc.com/news/technology-33689399
Android bug: MMS attack affects 'one billion' phones
28 July 2015
From the section
Technology

A bug in the Android mobile operating system has been discovered by
researchers, who say it affects nearly a billion devices.

The flaw can be exploited by sending a photo or video message to a
person's smartphone, without any action by the receiver.

Google said it had patched the problem, but millions of devices still
need their software updating.

The researchers said the flaw was "extremely dangerous".

Researchers from US information security company Zimpherium said they
believed it was one of the worst Android vulnerabilities to date,
estimating that 950 million devices were affected.

Нackers were able to send malicious code within a multimedia message
that could access a service within Android called Stagefright.

After Stagefright had been invoked, which required no action from the
victim, other data and apps on the handset could be accessed by the
malicious code.

"These vulnerabilities are extremely dangerous because they do not
require that the victim take any action to be exploited," the
researchers wrote.

Further details on the flaw will be revealed by the team, at the Black
Нat security conference in Las Vegas next week.

James Lyne, global head of security research at security company Sophos,
said the flaw affected a "massive array" of phones running Android
version 2.2 and higher.

"On some devices, the privileges at which this runs means an attacker
could access all kinds of content on your device or access resources
such as the camera," he said. Rush to patch

Zimpherium's researchers notified Google, which subsequently produced a
patch to fix the problem.

Нowever, millions of devices currently remain unpatched because hardware
manufacturers and mobile operators have to distribute updates to
customers themselves, and customers can reject updates manually.

In a statement, Google said: "This vulnerability was identified in a
laboratory setting on older Android devices, and as far as we know, no-
one has been affected.

"As part of a regularly scheduled security update, we plan to push
further safeguards to Nexus devices starting next week.

"And, we'll be releasing it in open source when the details are made
public by the researcher at Black Нat."
----- The end of the citation -----

Bye, Oleg!
Alexander Koryagin
fido7.ru.android 2015
--- FIDOGATE 5.1.7ds

Sergey Chudaev написал(а) к Alexander koryagin в Aug 15 12:41:11 по местному времени:

Разработчики Google рекомендуют избегать подозрительных сайтов и приложений
до выпуска исправлений.
Исследователи безопасности из Trend Micro обнаружили в мобильной платформе
Android уязвимость, позволяющую осуществить DoS-атаку и аварийно завершить
работу целевого устройства. Из опубликованного исследователями видео
следует, что в случае успешного нападения смартфон на базе ОС от Google
становится полностью неработоспособным

Устройство не может принимать звонки, включать дисплей или воспроизводить
звуки до тех пор, пока владелец его не перезагрузит. При этом для
эксплуатации бреши достаточно вынудить жертву посетить специально
сформированную web-страницу или запустить приложение, содержащее вредоносный
файл.

Комментируя доклад исследователей разработчики Google дали следующие
рекомендации: не посещать ненадежные web-сайты и избегать установки
потенциально опасных приложений. Исправление безопасности, по их словам,
будет выпущено в ближайшее время.

Отметим, что брешь находится во встроенной в Android службе media server и
существует из-за ошибки при индексации видеофайлов в контейнере Matroska.
====
Ну и как это отключить?


With best regards, Sergey Chudaev. E-mail: sergey-4@narod.ru


--- FIDOGATE 5.1.7ds