Menu

Google nespěchá, bezpečnostní díru Stagefright zalepí až příští týden

Včera jste se na našem portálu mohli dočíst o vážné bezpečnostní díře Stagefright, skrze kterou je možné ovládnout zařízení s Androidem pouhým odesláním MMS zprávy s upraveným videem v příloze (viz článek Stagefright: snadný hack Androidu přes MMS bez vědomí uživatele). Kromě samotné informace, která je přinejmenším alarmující (byť zatím není známo, že by někdo uvedený bezpečnostní nedostatek zneužil), ukázal Stagefright v plné nahotě i další slabinu operačního systému Android: pomalé aktualizace, včetně těch bezpečnostních.

Stagefright: snadný hack Androidu přes MMS bez vědomí uživatele

Stagefright: snadný hack Androidu přes MMS bez vědomí uživatele

Je všeobecně známo, že jako první dostávají nové verze systému zařízení Nexus, následované řadou Google Play Edition, po kterých postupně uvolňují updaty jednotliví výrobci. Ačkoli informaci o bezpečnostní díře Stagefright předali experti z bezpečnostní firmy Zimperium Mobile Security Googlu již v dubnu, včetně záplaty, ještě na konci července fungovala tato zranitelnost na telefonech Nexus 5 i Nexus 6. Dle dostupných informací Google záplatu předal svým partnerům, nicméně ani ti zatím aktualizaci, lepící bezpečnostní trhlinu, neuvolnili. Jedním z mála aktualizovaných systémů je PrivatOS – upravená verze Androidu, používaná na telefonu Blackphone, tvůrci alternativní ROM CyanogenMod implementovali záplatu v uplynulých týdnech. Očividně i zde platí pravidlo, že “když se chce, tak to jde.”

Google díru Stagefright ještě nezalepil

Ačkoli tedy zatím není znám případ zneužití bezpečnostního nedostatku v komponentě Stagefright, již sama skutečnost, že se problém týká 95 % všech zařízení s Androidem 2.2 a novějším by měla být dostatečně alarmující. Redaktoři serveru Android Police tak zjišťovali přímo u zdroje, jak to vypadá s aktualizacemi. Mluvčí Googlu v odpovědi na dotaz uvedl: “Tato zranitelnost byla zjištěna v laboratorním nastavení na starších zařízeních, a pokud je nám známo, zatím se nikoho nedotkla. Jakmile jsme byli informováni o této bezpečnostní chybě, zahájili jsme patřičné kroky, mezi které patřilo i rozeslání záplaty našim partnerům.

V rámci pravidelných bezpečnostních aktualizací připravujeme vydání záplat pro zařízení Nexus počínaje příštím týdnem. Budeme je také publikovat jako open source poté, kdy budou podrobnosti zveřejněny na konferenci BlackHat.”

Zařízení Nexus tak dostanou záplatu příští týden, tedy přinejmenším čtvrt roku poté, co se Google dozvěděl o takto vážné bezpečnostní díře, skrze kterou může útočník ovládnout telefon bez vědomí a jakékoli akce uživatele. Majitelé telefonů jiných značek si ještě budou muset počkat a během tohoto období jim nezbývá než doufat, že útočníci nezačnou uvedenou chybu zneužívat ve velkém měřítku.

Zdroj: Android Police.

Komentáře

SeppWinkler

SeppWinkler

29.7.2015 10:44

Aj keby to urobil až v ďalšej verzii zeleného panáčika, aj tak je to jedno. Koľkí výrobcovia telefónov vydajú nový FW, kde záplatu aplikujú? Žiaden, už teraz sa píše len o aktualizáciách na M :( Je potrebné oddeliť aktualizácie systému od výrobcov HW. Veď aktualizácie Windows tiež nevydávajú Dell, Lenovo, HP…

JirkaeR

JirkaeR

29.7.2015 10:51

Je s podivem, že pokud objeví Google chybu ve Windowsech, žádá nápravu ihned. Ale jakmile je objevena chyba v Androidu, Google si vůbec neláme hlavu s tím, jak dostat záplatu do všech telefonů.
Hlavně, že aktualizace Google Play (a podobných pi*ovin, jako je Google Hry, Google Knihy) dostaneme hned.

Sheva

Sheva

z aplikace
29.7.2015 11:06

Doba nez to zalepi Samsung, Sony atd. Po vydani zaplaty od Googlu bude stejne dlouha, dlouha pout..takze neni kam spechat :)

mc

mc

29.7.2015 13:32

Pomůže, když nebudu mít navoleno “Automatické stahování MMS”?

jenda42

jenda42

29.7.2015 15:45

JirkaeR: Ale vzdyt google to opravil. To, ze to, rekneme Samsung, neaplikuje, neni (a ani nemuze byt) problem google. To co ma pod palcem google, nebo komunita, je opravene. Tady to nefunguje tak jako v linuxu, kde jednootlive distribuce dostanou (spis si stahnou) patch treba na openssl a vydaji opravu (u velkych prusvihu obvykle do 2. dne). Tady na to vyrobci kaslou. Pokud chces update, kup si novy telefon s novou verzi. Pochybuju ze by google mohl rict samsungu: “Vy na to kaslete, uz od nas nic nedostanete a nesmite davat android do svych zarizeni” (ja vim je to nepresne, nevim jak presne je to tam s licenci na pouziti androidu). Dalsi vec: tohle se aktulaizuje pres aktualizaci systemu, docela by mi zajimalo kolik lidi to umi najit a kolik to i spusti (na svetu androida vsichni, ale to je kapicka v mori)…

wallin

wallin

30.7.2015 7:56

Teoreticky, to opravdu nejde vydat aktualizace přes G.Play?

jk

jk

30.7.2015 12:29

Ked sa minuly rok nasla obrovska diera v bashi, tak boli opravene aj historicke verzie. Som zvedavy, ci podobne aj Google dokaze vydat bezpecnostnu zaplatu pre starsie a uz nepodporovane nexusy. Len bezpecnostnu aktualizaciu poslednej podporovanej verzie Androidu pre ten ktory nexus. To by ho nestalo az tak vela, prakticky skoro nic a ziskal by stratenu doveru.
Ani ostatni vyrobcovia by sa vsak nemali spoliehat, ze si ludia kupia novy stroj. Mnohi ano (a dost vela z nich zrejme prejde na Windows Phone, kedze skoro ziaden android dnes podla dostupnych informacii nie je pouzitelny – uvidime buduci tyzden, ako to naozaj je), ale vacsina nie a vytvoria jednu obrovsku skupinu, ktora sa bude zneuzivat na utoky. Toto (asi) nie je v zaujme nikoho.

Standa

Standa

30.7.2015 15:26

Uvidíme mno. Měl jsem telefon se Symbian, Blackberry, Window Phone 8 a teď Android. Z hlediska uživatelského pohodlí a nabídky aplikací je Android jasná volba. Nicméně tahle aférka, u níž jsem zvědav na rychlost řešení od Google a následně výrobce telefonu, mě možná nasměruje, abych skončil nakonec u iOS. Neustálé vylepšování kravinek od Google na Google Play nemůže spasit to, že podle této zprávy je Android nejméně bezpečná platforma.

RSS (komentáře k článku)