Google не может исправить уязвимость Stagefright

238478.gif

В конце прошлого месяца стало известно, что около миллиарда смартфонов под управлением операционной системы Android подвержены уязвимости под названием Stagefright, которая позволяет взломать устройство с помощью MMS-сообщения, к которому крепится мультимедийный файл с вредоносным кодом. В зависимости от модели смартфона злоумышленники получают доступ к микрофону, камере, внешнему накопителю данных и даже права суперпользователя. Google и ряд крупных производителей незамедлительно отреагировали на эту проблему, заявив, что они уже выпустили исправление, а также намерены ежемесячно обновлять систему безопасности для своих устройств. Тем не менее, ошибка так и не была исправлена.

Как сообщает BBC, компания Exodus, специализирующаяся на безопасности, заявила, что обновление от Google даёт пользователям ложное чувство безопасности. Специалисты этой фирмы без проблем смогли обойти защиту Google, использовав уязвимость Stagefright.

«Общественность в целом считает, что нынешний патч защищает их, тогда как на самом деле это не так», — сообщается в блоге компании Exodus.

При этом представители Google уверяют, что их исправление закрыло уязвимость Stagefright в более чем 90% устройств линейки Nexus. По их словам, Android-пользователи защищены функцией безопасности под названием ASLR (address space layout randomization), которая существенно усложняет жизнь хакерам.

«Патч включает только 4 строки кода, которые, предположительно, были рассмотрены инженерами Google перед отправкой. Если Google не может продемонстрировать способность успешного исправления уязвимости на устройствах собственных клиентов, то на что остаётся надеется остальным?», — говорят представители Exodus.

Интересно, что в Exodus уверены, что в Google знали об этой уязвимости в течение более 120 дней, но не исправляли её. Вероятней всего, что проблема более серьёзная, чем ожидалось, и компании требуется больше времени, чтобы исправить её.

Источник:  bgr.com


©  4PDA