Исследователи нашли MMS-уязвимость в Android

28.07.2015 | 00:44 Экономика

Вредоносный код маскируется под видеосообщение

Исследователи Zimperium Mobile Security объявили о новой уязвимости Android, касающейся системы мультимедийных сообщений. Уязвимость «Stagefright» затрагивает около 950 млн Android-устройств по всему миру, хотя наиболее уязвимыми являются устройства, которые работают на старых версиях Android — до Jelly Bean. Google выпустила патч для производителей устройств, но большинство из них еще не начали распространять обновления среди своих клиентов.

Zimperium не опубликовали подробности нападения, отложив это до презентации на конференции Black Hat, но кажется, что это касается способа обработки видео в Android, в частности, функции обмена сообщениями MMS. Злоумышленники могут использовать эту уязвимость, отправив вредоносный код, замаскированный под видеоосообщение. После того, как эксплойт запущен, злоумышленник получает контроль, и может удаленно выполнять код, управлять микрофоном телефона, камерой, или любыми другими основными функциями. В наиболее уязвимых случаях, пользователю даже не нужно взаимодействовать с сообщением, чтобы выполнить код.

Google без особого труда выпустила патч для исправления уязвимости, но развертывание этого патча может оказаться непростым, учитывая фрагментацию экосистемы Android. Только 12% устройств работают на последней версии Android. Многие операторы просто не распространяют обновления для Android-телефонов в своих сетях. Как правило, это решается обновлениями на уровне приложений, но основные функции, как MMS сообщения, могут оказаться более сложными для исправления.