Android Stagefright - Największa luka w historii systemu?

Jeszcze do niedawna urządzenia mobilne noszone w kieszeni służyły nam do połączeń telefonicznych, wysyłania wiadomości i ewentualnie odtwarzania muzyki, tudzież grania w proste gry - standardowe telefony komórkowe łączyły się z Internetem sporadycznie i na wyraźne życzenie użytkownika, który ewentualnie chciał sprawdzić pocztę e-mail, przeczytać informacje ze świata lub pobrać jakąś aplikację. Dzisiejsze smartfony nie potrafią obejść się bez połączenia z globalną siecią, ale jest to oczywiście wynik spełniania potrzeb klientów przez producentów. Klasyczna rozmowa telefoniczna przez sieć GSM stała się dodatkiem, podobnie zresztą jak SMSy - nasze smartfony pozwalają na wiele... co jest coraz częściej wykorzystywane przez cyberprzestępców czyhających na nasze dane. Rozbudowane systemy operacyjne dla urządzeń mobilnych są po prostu dziurawe, a odkrycie kolejnej luki to tylko kwestia czasu.

Nie pierwsza i nie ostatnia luka w Androidzie, ale ta jest ponoć największa.

Wczoraj portal Niebezpiecznik poinformował o bardzo poważnym problemie dotyczącym milionów smartfonów i tabletów korzystających z Androida. Błąd o nazwie Stagefright według pierwszych analiz obejmuje swoim zasięgiem ponad 950 milionów urządzeń - co więcej, opiera się on na podstawowym komponencie systemu operacyjnego i może być skutecznie wykorzystywany przez osoby pozyskujące nielegalnie dane.

Na razie nie poznaliśmy szczegółów problemu (mają one zostać ujawnione na sławnej konferencji Black Hat), ale już teraz mówi się, że jest to największa luka w historii systemu Android. Stagefright to nie tylko nazwa problemu - to także oznaczenie biblioteki odpowiadającej za przetwarzanie multimediów na urządzeniach z Androidem. Wykorzystanie błędu odbywa się przez dostarczenie odpowiednio przygotowanego MMSa, który jest przetwarzany przez smartfona. Co gorsze, wykorzystanie luki może nastąpić natychmiast po otrzymaniu wiadomości, bez żadnej ingerencji ze strony użytkownika. Cyberprzestępcy mają otwartą drogę do podsłuchiwania posiadacza telefonu, podglądania go przy pomocy aparatu lub czytania danych z karty.

Większe możliwości dla użytkownika umożliwiają cyberprzestępcom skutecznie działanie.

Niebezpiecznik dodaje, że możliwe jest także wykorzystanie dodatkowych pakietów zwiększających uprawnienia atakującego. Podatność ma występować już od wersji Android 2.2, a najnowszy wariant nie jest wolny od błędu. Google wprowadza już aktualizacje, ale ich rozprowadzenie może zająć sporo czasu. Na razie nie odnotowano ataków na smartfony, ale ujawnienie większej ilości informacji może zmotywować cyberprzestępców do działania.