Уязвимость в Android ставит под удар почти миллиард пользователей
dl // 27.07.15 21:40
Zimperium Mobile Security сообщила об опасной уязвимости в Android версии 2.2 и старше, позволяющей с минимальными усилиями выполнить удаленный код на устройстве.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2015/07/01.html]
Проблема затаилась в движке Stagefright, обрабатывающем ряд популярных медиа-форматов и выполняющемся на ряде устройств с системными правами доступа. Написанный ради ускорения работы на C++, он содержит ряд уязвимостей, худшая из которых не требует взаимодействия с пользователем - ему не нужно открывать никакие файлы, фактически атакующему достаточно узнать телефонный номер жертвы и отправить MMS. Причем аккуратно подготовленная атака еще и сама удалит это сообщение, так что жертва даже не узнает, что ее телефон уже полностью захвачен.
Уязвимость затрагивает 95% всех устройств с Android (т.е. примерно 950 миллионов). Хуже всего придется устройствам до 4.x Jelly Bean (примерно 11%), приложения в которых выполняются без индивидуальных песочниц.
Google уже извещена и выпустила срочный патч, но учитывая то, что он должен сначала добраться до производителей конкретных моделей, которые очень неторопливо обновляют свои прошивки, а старые устройства (причем наиболее уязвимые) вообще не получают никаких обновлений, ситуация выглядит крайне неприятно. Детали атаки обещано обнародовать на следующей неделе на конференции Black Hat.
