Zimperiumin havaitsema aukko liittyy mediatiedostojen Stagefright-käsittelykirjastoon ja aukon hyödyntäminen ei vaadi kuin haitallisen MMS-mediaviestin lähettämisen kohteelle. Vaaralliseksi aukon tekee se, että käyttäjältä ei vaadita minkäänlaisia toimenpiteitä aukon hyödyntämiseen – riittää, että hyökkääjä pystyy lähettämään viestin kohdelaitteeseen.
Lisäksi viesti voidaan poistattaa ennen kuin käyttäjä edes havaitsee mitään.
Viestintävirasto suositteleekin Android-laitteiden omistajia kytkemään MMS-viestit pois päältä ja välttämään tuntemattomista numeroista saapuvien viestien avaamista.
Google korjannee aukon, mutta on täysin toinen kysymys kilahtaako korjauspäivitys puhelimeesi koskaan. Laitevalmistajien muokkausten takia päivityksen saapumiseen voi mennä useampi kuukausi ja kaikkein vanhimpia laitteita tullaan tuskin koskaan korjaamaan.
Kommentit (6)
Aukko on korjattu, tämän löytänyt kaveri toimitti patchit samalla kun ilmoitti asiasta ja google on ne jo lisännyt coreen.(tosin ei löydy aosp puusta ilmeisesti vielä).
Myös esim. Cm 12/12.1 versioihin tämä on paikattu pari viikkoa sitten.
Tohon MMS-ongelmaan auttaa myös MMS-sovelluksen vaihto toiseen, joka ei käytä Stagefrightia.
Androidin lisäksi ainakin Firefox OS käyttää Stagefrightia, mutta siinä ongelma on jo kai korjattu aiemmin.
Tämä ongelma on nähtävästi pahin niissä luureissa, joissa Stagefrightia ajetaan jostain mystisestä syystä laajoilla käyttöoikeuksilla (esim. Samsung Galaxy S4 ja LG Optimus Elite), jolloin hyökkääjä pääsee suoraan käsiksi suurimpaan osaa luurin toiminnoista.
Kysymys toimitukselle: miksi suojautumiskeino "MMS-viestit pois päältä" ei lue suoraan otsikossa? En pidä siitä, että minua kiristetään lukemaan artikkeli jättämällä uutisen olennaisin seikka pelkän vihjauksen asteelle ja uhkaamalla laitteen turvattomaksi jäämisellä muussa tapauksessa. Pahoitteluni vahvojen ilmasujen käytöstä, mutta tästähän on käytännössä kyse.
Sivuhuomautuksena vielä, että pidän Afterdawnin eri sivustoista ja olisin lukenut artikkelin joka tapauksessa. Huonosta journalismista (jota epäselvä otsikointi on) pisteet kuitenkin pikkuhiljaa valitettavasti laskevat.
@ardiccari
Ei mms viestien pois laitto yksinään estä käyttämästä tuota, vaan kaikki sovellukset mitkä käyttää tuota haavoittuvaa kirjastoa on potentiaalisia riskejä.
Riittääkö Galaxy S4 omistajalle että poistaa Access Point Names valikosta mms asetukset ja jättää vain internet asetukset?
Se estää tuon aukon käytön mms viestien välityksellä, muttei paikkaa sitä todellista aukkoa, mitä voidaan senkin jälkeen käyttää muuta kautta.