![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
mdmxhttp://habrahabr.ru/post/263759/
В Android обнаружены уязвимости, позволяющие получить доступ к смартфону через MMS
Информационная безопасность*
Компания ZIMPERIUM, специализирующаяся на компьютерной безопасности, обнаружила критические уязвимости в ядре Android, которые позволяют выполнять код через отправку MMS сообщений или Google Hangout. По примерной оценке, данной опасности подвержено 95% пользователей устройств под управлением системы Android (около 950 миллионов человек). И что самое опасное, данную уязвимость достаточно просто использовать: необходимо лишь знать номер мобильного телефона жертвы.
Джошуа Дж. Дрейк (@jduck), заглянул в самые глубокие уголки кода ядра Android и обнаружил 7 критических уязвимостей, данные уязвимости подвержены более 95% устройств (примерно 950 миллионов устройств). Отчёт Дрейка будет представлен на конференциях Black Hat USA 5 августа и CON 23 7 августа. Найдено множество методов удалённого запуска кода, худшие из которых не требуют вмешательства пользователя.
Злоумышленникам только нужен ваш номер мобильного телефона, с помощью которого они могут удаленно выполнить произвольный код через специально созданный файл доставленным через ММС. Для более успешной и скрытной атаки можно удалить сообщение прежде чем пользователь его заметит. Эти уязвимости являются крайне опасными, потому что они не требуют, чтобы жертва предпринимать никаких действий. В отличие от фишинга, где пользователь должен открыть файл или ссылку.
Подвержены устройства с Android от версии 2.2 до версии 4.1.
Список зарегистрированных CVEs:
CVE-2015-1538
CVE-2015-1539
CVE-2015-3824
CVE-2015-3826
CVE-2015-3827
CVE-2015-3828
CVE-2015-3829
Компания Google в течение нескольких часов выпустила фикс данных ошибок, но проблема осложняется тем, что для исправления данных уязвимостей необходимо обновление прошивки, а оно выпускается производителями устройств как правило только для более новых моделей.
АПД: Тут на эту тему посерьезнее http://www.computerra.ru/129117/stagefright-android-vulnerability/
В Android обнаружены уязвимости, позволяющие получить доступ к смартфону через MMS
Информационная безопасность*
Компания ZIMPERIUM, специализирующаяся на компьютерной безопасности, обнаружила критические уязвимости в ядре Android, которые позволяют выполнять код через отправку MMS сообщений или Google Hangout. По примерной оценке, данной опасности подвержено 95% пользователей устройств под управлением системы Android (около 950 миллионов человек). И что самое опасное, данную уязвимость достаточно просто использовать: необходимо лишь знать номер мобильного телефона жертвы.
Джошуа Дж. Дрейк (@jduck), заглянул в самые глубокие уголки кода ядра Android и обнаружил 7 критических уязвимостей, данные уязвимости подвержены более 95% устройств (примерно 950 миллионов устройств). Отчёт Дрейка будет представлен на конференциях Black Hat USA 5 августа и CON 23 7 августа. Найдено множество методов удалённого запуска кода, худшие из которых не требуют вмешательства пользователя.
Злоумышленникам только нужен ваш номер мобильного телефона, с помощью которого они могут удаленно выполнить произвольный код через специально созданный файл доставленным через ММС. Для более успешной и скрытной атаки можно удалить сообщение прежде чем пользователь его заметит. Эти уязвимости являются крайне опасными, потому что они не требуют, чтобы жертва предпринимать никаких действий. В отличие от фишинга, где пользователь должен открыть файл или ссылку.
Подвержены устройства с Android от версии 2.2 до версии 4.1.
Список зарегистрированных CVEs:
CVE-2015-1538
CVE-2015-1539
CVE-2015-3824
CVE-2015-3826
CVE-2015-3827
CVE-2015-3828
CVE-2015-3829
Компания Google в течение нескольких часов выпустила фикс данных ошибок, но проблема осложняется тем, что для исправления данных уязвимостей необходимо обновление прошивки, а оно выпускается производителями устройств как правило только для более новых моделей.
АПД: Тут на эту тему посерьезнее http://www.computerra.ru/129117/stagefright-android-vulnerability/
