Zimperiumin havaitsema aukko liittyy mediatiedostojen Stagefright-käsittelykirjastoon ja aukon hyödyntäminen ei vaadi kuin haitallisen MMS-mediaviestin lähettämisen kohteelle. Vaaralliseksi aukon tekee se, että käyttäjältä ei vaadita minkäänlaisia toimenpiteitä aukon hyödyntämiseen – riittää, että hyökkääjä pystyy lähettämään viestin kohdelaitteeseen.
Lisäksi viesti voidaan poistattaa ennen kuin käyttäjä edes havaitsee mitään.
Viestintävirasto suositteleekin Android-laitteiden omistajia kytkemään MMS-viestit pois päältä ja välttämään tuntemattomista numeroista saapuvien viestien avaamista.
Google korjannee aukon, mutta on täysin toinen kysymys kilahtaako korjauspäivitys puhelimeesi koskaan. Laitevalmistajien muokkausten takia päivityksen saapumiseen voi mennä useampi kuukausi ja kaikkein vanhimpia laitteita tullaan tuskin koskaan korjaamaan.
Kommentit (8)
Aukko on korjattu, tämän löytänyt kaveri toimitti patchit samalla kun ilmoitti asiasta ja google on ne jo lisännyt coreen.(tosin ei löydy aosp puusta ilmeisesti vielä).
Myös esim. Cm 12/12.1 versioihin tämä on paikattu pari viikkoa sitten.
MMS viestien poiskytkeminen estää MMS viestienkautta hyökkäämisen, ei muuten auta.
Aukkoa ajatellen ilman päivitystä se pidemmän päälle vähinten ongelmallinen, sillä operaattori voi suodattaa haittaviestit ja massa hyökkäykseen "kallis" ja jälkiä jättävä kanava.
Esim firma
Kaikki muu onkin sitten haasteellista, käyttäjän pitäisi "sulkea" kaikki ko kirjastoa käyttävä sovellukset joiden mahdolliseen sisältöön ei voi luottaa.
Tohon MMS-ongelmaan auttaa myös MMS-sovelluksen vaihto toiseen, joka ei käytä Stagefrightia.
Androidin lisäksi ainakin Firefox OS käyttää Stagefrightia, mutta siinä ongelma on jo kai korjattu aiemmin.
Tämä ongelma on nähtävästi pahin niissä luureissa, joissa Stagefrightia ajetaan jostain mystisestä syystä laajoilla käyttöoikeuksilla (esim. Samsung Galaxy S4 ja LG Optimus Elite), jolloin hyökkääjä pääsee suoraan käsiksi suurimpaan osaa luurin toiminnoista.
Kysymys toimitukselle: miksi suojautumiskeino "MMS-viestit pois päältä" ei lue suoraan otsikossa? En pidä siitä, että minua kiristetään lukemaan artikkeli jättämällä uutisen olennaisin seikka pelkän vihjauksen asteelle ja uhkaamalla laitteen turvattomaksi jäämisellä muussa tapauksessa. Pahoitteluni vahvojen ilmasujen käytöstä, mutta tästähän on käytännössä kyse.
Sivuhuomautuksena vielä, että pidän Afterdawnin eri sivustoista ja olisin lukenut artikkelin joka tapauksessa. Huonosta journalismista (jota epäselvä otsikointi on) pisteet kuitenkin pikkuhiljaa valitettavasti laskevat.
@ardiccari
Ei mms viestien pois laitto yksinään estä käyttämästä tuota, vaan kaikki sovellukset mitkä käyttää tuota haavoittuvaa kirjastoa on potentiaalisia riskejä.
Riittääkö Galaxy S4 omistajalle että poistaa Access Point Names valikosta mms asetukset ja jättää vain internet asetukset?
Se estää tuon aukon käytön mms viestien välityksellä, muttei paikkaa sitä todellista aukkoa, mitä voidaan senkin jälkeen käyttää muuta kautta.
mulla on samsung galaxy s4 mini ja en ite osaa laittaa pois päältä MMS-viestejä että voisiko joku auttaa :)