В конце июля была опубликована информация о том, что 95% устройств на Android имеют уязвимость, которая теоретически может использоваться для заражения смартфонов вирусами через MMS. Причём, пользователю даже не обязательно это MMS-сообщение открывать, а само сообщение на некоторых моделях может быть удалено после заражения.
Как выяснилось позже, уязвимость основана на переполнении целочисленной переменной в библиотеке libStageFright OS Android для работы с мультимедиа-файлами (например, видеороликами mp4) с возможностью записи в область памяти, называемую "кучей", что, теоретически, позволяет получить контроль над порядком исполнения кода на устройстве. Уязвимость может эксплуатироваться не только через MMS, но и любым другим способом, при котором системная библиотека начнет разбор заголовка видео-файла - через специальные ссылки или из локальных приложений.
И вот, через восемь дней после широкого освещения в прессе проблемы с MMS, на фоне проходящей в Вегасе конференции Black Hat, из черной дыры Google последовал неожиданно масштабный ответ - теперь устройства Google Nexus в течение трех лет с момента начала продаж будут получать ежемесячные обновления с устранением уязвимостей (security updates).
Первое обновление, устраняющие как раз уязвимость в libStageFright, начнет приходить на устройства сегодня - его получат только владельцы Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9, Nexus 10, and Nexus Player.
Большая же часть устройств на Android, по всей видимости, не получит обновление никогда (см. доли версий Android для понимания уровня обновляемости).
Добавить 6 комментариев
Самсунг тоже жаренный петух в жопу клюнул — http://global.samsungtomorrow.com/samsung-announces-an-android-security-update-process-to-ensure-timely-protection-from-security-vulnerabilities/
Но пока не сильно клюнул. Они пока «rethinking the approach» без конкретики.
Лучшая антиреклама андроид которую можно придумать
Мораль: Android — тот же iOS, только с поддержкой рюшечек в виде разных корпусов, которые, конечно, не поддерживаются, как не поддерживаются пиратские сборки маков.
Плюшки всё равно получат только официалы.
> Мораль: Android — тот же iOS
не совсем, должен напомнить про уязвимости с юникодом в iOS, которые приводили к широкому спектру отказов. Если MMS мало кто пользует и его можно отключить, то прием SMS с арабской вязью никак не отключить…
Все же на Андроид можно накатить сторонние кастомные прошивки, как правило. Когда как iOS это сплошная клетка, хоть и блестящая.
А был ли мальчик?
В смысле, были ли реальные взломы андроидов через эту описанную брешь? И были такие взлома массовыми?
Почитал статьи на тему. Если все правильно понял, достаточно в приложении для СМС отключить автозагрузку ММС. И можно спать спокойно.