Android легко взломать с помощью MMS

В Android обнаружена чрезвычайная опасная уязвимость, которая позволяет получить контроль над любым устройством, просто отправив на него MMS-сообщение.

Проблема затронула почти все существующие смартфоны и планшеты под управлением этой операционной системы.

Уязвимость обнаружена специалистами компании Zimperium. Как явствует из сообщения в блоге компании, она найдена в Stagefright — библиотеке Android, которая отвечает за обработку многих современных медиа-форматов. Самый серьезный сценарий использования уязвимости — отправка MMS-сообщения пользователю. Все, что нужно хакеру — это знать номер телефона жертвы. Отправленное сообщение может содержать особым образом составленный код, который позволит добраться до системы.

Пользователь может даже не открывать полученное сообщение.

Код может быть сконструирован таким образом, что смартфон получит и обработает сообщение, а затем самостоятельно его удалит. Если такое сообщение отправить ночью, когда пользователь спит, он вообще может никогда не узнать, что его смартфон был взломан.

Чтобы запустить зловредный код, можно также заманить пользователя на особым образом созданный сайт. И не только — по словам представителей компании они нашли шесть разных способов, как можно использовать найденную в Stagefright уязвимость. Они обещают представить их на конференции Black Hat, которая пройдет в Лас-Вегасе в следующем месяце.

Закрыть брешь могут только производители устройств, которым надо выпустить патч. Несмотря на то, что информация об уязвимости была передана Google и другим компаниям, имеющим отношение к Android, какое-то время назад, пока брешь закрыта только в смартфоне Nexus 6, да и то не полностью. Более всего уязвимы старые смартфоны и планшеты — работающие под управлением Android 4.3 (Jelly Bean) и ниже, потому что в них нет некоторых защитных механизмов от такого типа атак, появившихся в более свежих версиях Android.

Пользователь ничего не может сделать, чтобы не стать жертвой хакеров, вооруженных знанием об уязвимости в Stagefright. Насколько известно специалистам по безопасности, пока информация о том, как эксплуатировать брешь, до хакерского сообщества не добралась. Но теперь, когда они знают, где искать, появление работающих эксплоитов — вопрос времени.

Пока пользователям остается лишь надеяться на то, что производители телефонов оперативно выпустят «заплатку». Но, как это часто бывает в мире Android, выпуск обновлений может затянуться, а старые модели вообще могут никогда не получить патчи.

DELFI