16:00
28/7/2015
28/7/2015
Wczoraj w artykule opisującym dziurę, jaka dotyka 950 milionów Androidów szacowaliśmy, że publiczny exploit pojawi się w okolicach konferencj BlackHat. Pojawił się dużo wcześniej.
Evgeny Legerov udostępnił właśnie nowy dodatek VulnDisco 20.22 zawierający co najmniej 2 niezałatane jeszcze podatności wykorzystujące 2 błędy w bibliotece StageFright.
Wiadomości -> ustawienia -> Autopobieranie wiad. MMS
(Android 4.3)
@Luj: to tylko jeden z wektorów ataku, ale też najbardziej oczywisty. Gorzej np. ze specjalnie spreparowanymi stronami lub plikami, które w inny sposób znajdą się na urządzeniu i zostaną otwarte.
A co dla Andka 4.1? Mnóstwo telefonów posiada tę wersję, bo jest bardzo stabilna i nie ma dużych wymagań. Producenci jak sądzę, nie pochylą się nad aktualizacjami dla rocznych lub dwuletnich telefonów, więc tylko wyłączenie połączenia danych chyba wchodzi w grę lub zmiana ustawień APN dla MMS…
Zresztą powyższe blokuje tylko jeden z wektorów ataku, nadal można będzie przesłać coś mailem czy jakąś inną usługą…
SMS -> ustawienia -> Autopobieranie
(Android 2.3.6)
Czy jeden exploit działa na wszystkich wersjach androida? Czy jest potrzebna inna wersja exploita na każdą wersje androida?
Czytając o StageFright z jednej strony cieszę się bo będę mógł zhakować wreszcie stary chiński tablet na nvidii. Ale z drugiej strony jestem przerażony… naprawdę – jako wieloletni dev urządzeń bazujących na Androidzie, ze świadomością jak bardzo wypięci otworem w stronę klienta są producenci tych urządzeń, mam wizje nadchodzącego małego armagedonu.
A dodam tylko, że od strony budowy systemu, Android jeszcze nie raz pogryzie wszystkim ręce. Czysty informatyczny chaos…
A z ciekawości, jaki model telefonu posiadasz?
G2 mini dostało upgrade do 5.0.2 pod koniec czerwca. Może LG zdążyło z poprawką przy tej okazji.
Błąd w tytule… “Fright” a nie “Frigth”
A czy jest możliwe wysłanie MMS na smartfon bez SIMa?
jak pobrać te poprawki ze strony? na niej widzę tylko link do pobrania podpisu PGP?