Stagefright bugs: Κώδικας που επιτρέπει σε hackers να πάρουν τον έλεγχο ευπαθών Android συσκευών δημοσιεύτηκε πρόσφατα, ενώ προγραμματιστές και φορείς της Google προσπαθούν να βρουν ακόμα να διανείμουν τα patches στους χιλιάδες χρήστες.
Μηνύματα παγίδες και ιστοσελίδες εκμεταλλεύονται την ευπάθεια στην καρδιά του Android, η οποία εντοπίζεται στην media library των Android, είναι γνωστή ως libstagefright και δίνει στους επιτιθέμενους μια ποικιλία από τρόπους ώστε να εκτελέσουν κρυφά κακόβουλο κώδικα στις συσκευές των ανύποπτων χρηστών.
Οι ευπάθειες αναφέρθηκαν ιδιωτικά τον Απρίλιο και Μάϊο και αποκαλύφθηκαν δημόσια στα τέλη Ιουλίου. Η Google ξόδεψε τους προηγούμενους τέσσερις μήνες ετοιμάζοντας διορθώσεις και διανέμοντάς τις στους συνεργάτες της, αλλά αυτές οι προσπάθειες αντιμετώπισαν μια σειρά εμποδίων και περιορισμών.
Τα εμπόδια ανάγκασαν την Google και τους συνεργάτες τηε να ζητήσουν απ’ το Zimperium -την εταιρείας ασφαλείας που αποκάλυψε τα Stagefright bugs -να καθυστερήσει να δημοσιεύσει το proof-of-concept κώδικα που κάνει exploit σε κάποια bugs. Αλλά την Τετάρτη, η εταιρεία το δημοσίευσε τελικά. Το python script δημιουργεί ένα αρχείο πολυμέσων MP4 που εκμεταλλεύεται το CVE-2015-1538 και παρέχει στον εισβολέα ένα αντίστροφο command cell. Ο εισβολέας, είναι έπειτα ικανός να τραβήξει φωτογραφίες και να ακούσει απομακρυσμένα audio. To exploit δεν λειτουργεί στις εκδόσεις 5.0 και έπειτα χάρη στις νέες overflow mitigations.
H εταιρεία απάντησε σε όλη την αρνητική δημοσιότητα που έλαβε το ζήτημα των Stagefright bugs με την δέσμευση να ακολουθήσει ένα μηνιαίο κύκλο για τα Nexus handset. Η Samsung ανακοίνωσε ένα περεμφερές πρόγραμμα για πολλές από τις συσκευές της. Αν αναρωτιέστε πώς θα δουλέψουν τα νέα προγράμματα, με λίγη τύχη θα επιτρέψουν στην Google να συμβαδίσει με τους industry-standard κύκλους διορθώσεων που ακολουθούνται από την Microsoft, την Apple και την Adobe.
