İçindekiler:
- Stagefright 2.0 Nedir?
- Telefonum veya tabletim etkileniyor mu?
- Google bu konuda ne yapıyor?
- Yama telefonuma veya tabletime ulaşana kadar nasıl güvende olurum?
- Bu dünyanın sonu mu?
Geçtiğimiz birkaç ay, popüler olarak Stagefright adında bir dizi sorunu çevreleyen bir sürü belirsizlikle doluydu, çünkü kazanılan bir isim Android’in libstagefright’ı ile ilgili. Güvenlik firması Zimperium, telefonunuzdaki kötü niyetli kodları çalıştırmak için manipüle edilebilecek mp3 ve mp4 dosyalarını çevreleyen iki yeni sorunla birlikte Stagefright 2.0 olarak adlandırdıkları şeyi yayımladı.
İşte şimdiye dek bildiklerimiz ve kendinizi nasıl güvende tutacağınız.
Stagefright 2.0 Nedir?
Zimperium'a göre, yakın zamanda keşfedilen bir çift güvenlik açığı, bir saldırganın MP3 veya MP4 gibi görünen bir dosyaya sahip bir Android telefon veya tablet sunmasını mümkün kılıyor, böylece bu dosyanın meta verileri OS tarafından önizlendiğinde zararlı kod. Ortadaki bir Adam saldırısı veya bu hatalı biçimlendirilmiş dosyaları teslim etmek için özel olarak oluşturulmuş bir web sitesi olması durumunda, bu kod kullanıcının haberi olmadan çalıştırılabilir.
Zimperium, uzaktan yürütmeyi onayladığını iddia etti ve bunu 15 Ağustos'ta Google’ın dikkatine sundu. Buna cevap olarak, Google, CVE-2015-3876 ve CVE-2015-6602’yi 15 Eylül’de görevlendirdi ve düzeltmeler üzerinde çalışmaya başladı.
Telefonum veya tabletim etkileniyor mu?
Öyle ya da böyle, evet. CVE-2015-6602, libutillerdeki bir güvenlik açığına karşılık gelir ve Zimperium, bu güvenlik açığının keşfedildiğini duyurduktan sonra bildirdiği gibi, Android 1.0 ve Android 1.0'a kadar geri giden tüm Android telefonlarını etkiler. CVE-2015-3876 her Android 5.0 ve daha yüksek telefon veya tabletleri etkiler ve teorik olarak orta saldırıda web sitesi veya adam aracılığıyla iletilebilir.
ANCAK.
Şu anda laboratuar koşullarının dışında herhangi bir şeyden yararlanmak için hiç kullanılmamış olan bu güvenlik açığı ile ilgili genel bir örnek yoktur ve Zimperium, bu sorunu Google’a göstermek için kullandıkları kavram kanıtı açıklamasını paylaşmayı planlamamaktadır. Google'ın bir düzeltme eki yayınlamadan önce bir başkasının bu istismarı ortaya çıkarması mümkün olsa da, bu istismarın arkasındaki ayrıntıların hala gizli tutulması olası değildir.
Google bu konuda ne yapıyor?
Google’ın açıklamasına göre, Ekim Güvenlik Güncelleştirmesi bu güvenlik açıklarının her ikisine de hitap ediyor. Bu yamalar AOSP'da yapılacak ve 5 Ekim'den itibaren Nexus kullanıcılarına sunulacak. Kartal gözlü okuyucular, yakın zamanda incelediğimiz Nexus 5X ve Nexus 6P'yi daha önce 5 Ekim güncellemesinin kurulu olduğunu fark etmiş olabilirler, bu yüzden bu telefonlardan birini önceden sipariş ettiyseniz, donanımınız bu güvenlik açıklarına karşı düzeltilmiş olacak. Yama ile ilgili ek bilgiler 5 Ekim'de Android Güvenlik Google Grubunda olacak.
Nexus dışı telefonlara gelince, Google, 10 Eylül’deki ortaklara Ekim Güvenlik Güncellemesi’ni sağladı ve güncellemeyi en kısa sürede sunmak için OEM’ler ve taşıyıcılarla birlikte çalışıyor. Son Stagefright'ın istismarında yamalı olan cihazların listesine bakarsanız, bu süreçte hangi donanımın öncelik olarak kabul edildiğine dair makul bir fikir edinirsiniz.
Yama telefonuma veya tabletime ulaşana kadar nasıl güvende olurum?
Birinin gerçekten bir Stagefright 2.0 ile uğraşıyor olması ve Android kullanıcılarına zarar vermesi ve kamuya açık detaylar eksikliğinden dolayı pek olası olmayan Android kullanıcılarını etkilemeye çalışması durumunda, güvende kalmanın anahtarı, bulunduğunuz yere dikkat etmekle ilgili her şeye sahiptir. yeniden gezinmek ve neye bağlı olduğunuz.
Olabildiğince ortak ağlardan kaçının, mümkün olduğunda iki faktörlü kimlik doğrulamasına güvenin ve gölgeli web sitelerinden mümkün olduğunca uzak durun. Genelde sağduyulu web kendinizi güvende tutmak için şeyler.
Bu dünyanın sonu mu?
Azıcık bile değil. Tüm Stagefright güvenlik açıkları gerçekten ciddi olsa da ve bu şekilde ele alınmaları gerekiyor olsa da, bu sorunların olabildiğince çabuk çözülmesini sağlamak için Zimperium ile Google arasındaki iletişim fantastik olmuştur. Zimperium, Android ile ilgili sorunlara haklı olarak dikkat çekti ve Google düzeltmek için adım attı. Mükemmel bir dünyada, bu güvenlik açıkları mevcut olmaz, ancak olurlar ve hızla ele alınmaktadırlar. İçinde bulunduğumuz durum göz önüne alındığında, bundan daha fazlasını isteyemezsiniz.
