:

Szerző: Hlács Ferenc

2015. szeptember 10. 15:10

Közkézen az Android-gyilkos kód

Közzétette az androidos Stagefright sebezhetőség kihasználásához szükséges példakódot a hibát felfedező Zimperium biztonsági cég. A vállalat azért hozta nyilvánosságra a kódot, mert a Google a kijelölt határidő többszöri meghosszabbítása után sem foltozta be a telefonok millióit érintő biztonsági rést.

Az Androidot sújtó Stagefright sebezhetőséget valószínűleg keveseknek kell bemutatni. Az áprilisban, illetve májusban felfedezett, júliusban közzétett súlyos biztonsági rés a rendszer verzióit több évre visszamenőleg sújtja, a Google ráadásul még mindig nem adott ki hatásos javítást a hibára, az első javítás ugyanis hatástalannak bizonyult.

A helyzet most tovább romlik, lejárt ugyanis az az egyébként már többször meghosszabbított határidő, amelyet a sebezhetőséget felfedező Zimperium biztonsági cég adott a Google-nek a hiba befoltozására. Miután a keresőóriás, illetve gyártópartnerei nem oldották meg a problémát, a vállalat közzétette Stagefright kihasználását lehetővé tevő példakódot. Ezt felhasználva gyakorlatilag bárkinek lehetősége van androidos eszközök millióit célba vevő kártevőket létrehozni.

A biztonsági rés a nyílt forráskódú Android Stagefright nevű videófeldolgozó alrendszerében található: az itt lévő alkönyvtárakat a támadók tetszés szerint aktiválhatják, elég egy megfelelően preparált videofájlt juttatniuk a célba vett telefonra, akár egy app vagy weboldal segítségével, netán MMS-en keresztül. Utóbbihoz a támadónak mindössze a célpont telefonszámával kell tisztában lennie, ugyanis ahogy a multimédiás üzenet megérkezik az eszközre, a Stagefright működésbe lép, a hacker pedig kódfuttatási jogot nyer az okostelefonon.

Az AI és a nagy full-full-stack trend

Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

A sikeres behatolás után a támadók a telefonon kedvük szerint garázdálkodhatnak, potenciálisan hívásokat, üzeneteket vagy akár GPS koordinátákat is rögzíthetnek az eszközön - hogy pontosan milyen mértékben férhetnek hozzá a készülékhez, az az adott Android verzió függvénye. A legsúlyosabban a Jelly Beant, azaz a 4.1-es verziót megelőző változatok érintettek.

A Google a hiba bejelentése után mindössze néhány nappal, augusztus elején már kiadott egy javítást - egész pontosan a Zimperium által készített patchet továbbította a rendszerét használó gyártók felé, illetve küldte ki maga is a Nexus készülékekre. Ez azonban, mint rövidesen kiderült, viszonylag könnyen kijátszható, a Stagefright sebezhetőség pedig továbbra is él. A néhány sorból álló, első körben kifejezetten elegánsnak tűnő frissítés lényegében egy ellenőrzést implementál a hibában érintett változókra, meggátolva a probléma gyökerét jelentő puffertúlcsordulást. Azonban mint utóbb kiderült, egy megfelelően preparált MP4 fájllal az ellenőrzés viszonylag egyszerűen megkerülhető.

A fenyegetés tehát továbbra is fennáll, ráadásul nem csak a különböző gyártók évek óta nem frissített leharcolt telefonjain, de az aktuális csúcsmodelleken - sőt még a közvetlenül a Google fennhatósága alatt lévő Nexusokon is. Az általa jelentett veszély pedig a használatát demonstráló, immár szabadon elérhető példakódnak köszönhetően nagyobb mint valaha. Ha eddig nem is, remélhetőleg a Google a fentiek fényében végre kiad egy - használható - javítást a biztonsági résre.

Október 13-án 6 alkalmas, 18 órás CI/CD alapozó képzést indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról

roszkoszmosz

9

Saját Starlink-riválist indít Oroszország

2025. szeptember 17. 13:43

Az első indítások idén év végén jöhetnek, 2035-re valósulhat meg a teljes, országos lefedettség, beleértve az Észak-sarkvidéket.