Google nespěchá, bezpečnostní díru Stagefright zalepí až příští týden
- Zprávičky
- Karel Kilián
- 14.12.2022
- 8
Včera jste se na našem portálu mohli dočíst o vážné bezpečnostní díře Stagefright, skrze kterou je možné ovládnout zařízení s Androidem pouhým odesláním MMS zprávy s upraveným videem v příloze (viz článek Stagefright: snadný hack Androidu přes MMS bez vědomí uživatele). Kromě samotné informace, která je přinejmenším alarmující (byť zatím není známo, že by někdo uvedený bezpečnostní nedostatek zneužil), ukázal Stagefright v plné nahotě i další slabinu operačního systému Android: pomalé aktualizace, včetně těch bezpečnostních.
Je všeobecně známo, že jako první dostávají nové verze systému zařízení Nexus, následované řadou Google Play Edition, po kterých postupně uvolňují updaty jednotliví výrobci. Ačkoli informaci o bezpečnostní díře Stagefright předali experti z bezpečnostní firmy Zimperium Mobile Security Googlu již v dubnu, včetně záplaty, ještě na konci července fungovala tato zranitelnost na telefonech Nexus 5 i Nexus 6. Dle dostupných informací Google záplatu předal svým partnerům, nicméně ani ti zatím aktualizaci, lepící bezpečnostní trhlinu, neuvolnili. Jedním z mála aktualizovaných systémů je PrivatOS – upravená verze Androidu, používaná na telefonu Blackphone, tvůrci alternativní ROM CyanogenMod implementovali záplatu v uplynulých týdnech. Očividně i zde platí pravidlo, že “když se chce, tak to jde.”
Google díru Stagefright ještě nezalepil
Ačkoli tedy zatím není znám případ zneužití bezpečnostního nedostatku v komponentě Stagefright, již sama skutečnost, že se problém týká 95 % všech zařízení s Androidem 2.2 a novějším by měla být dostatečně alarmující. Redaktoři serveru Android Police tak zjišťovali přímo u zdroje, jak to vypadá s aktualizacemi. Mluvčí Googlu v odpovědi na dotaz uvedl: “Tato zranitelnost byla zjištěna v laboratorním nastavení na starších zařízeních, a pokud je nám známo, zatím se nikoho nedotkla. Jakmile jsme byli informováni o této bezpečnostní chybě, zahájili jsme patřičné kroky, mezi které patřilo i rozeslání záplaty našim partnerům.
V rámci pravidelných bezpečnostních aktualizací připravujeme vydání záplat pro zařízení Nexus počínaje příštím týdnem. Budeme je také publikovat jako open source poté, kdy budou podrobnosti zveřejněny na konferenci BlackHat.”
Zařízení Nexus tak dostanou záplatu příští týden, tedy přinejmenším čtvrt roku poté, co se Google dozvěděl o takto vážné bezpečnostní díře, skrze kterou může útočník ovládnout telefon bez vědomí a jakékoli akce uživatele. Majitelé telefonů jiných značek si ještě budou muset počkat a během tohoto období jim nezbývá než doufat, že útočníci nezačnou uvedenou chybu zneužívat ve velkém měřítku.
Zdroj: Android Police.
Karel Kilián je zkušený technický redaktor a copywriter s bohatou praxí v oblasti informačních a komunikačních technologií. Jeho kariéra začala na pozici prodavače, odkud postupně… více o autorovi
Komentáře (8)
Přidat komentář