Одна из самых скандальных угроз уже щекочет нервы владельцам Android-телефонов с тех пор, как специалисты компании Zimperium zLabs обнаружили шесть зияющих дыр в Google ОС в апреле 2015 года. Уязвимости называют худшими недоработками в истории Android OS.
Специалисты утверждают, что 95% Android-устройств, или около 950 млн смартфонов, находятся в зоне риска. В безопасности только старые гаджеты с версией системы ниже 2.2, а также телефоны, использующие последнюю сборку уже пропатченного Silent Circle’s Blackphone. Обновления безопасности для смартфонов Nexus также скоро будут доступны.
#Security Российский ИБ-эксперт обнаружил уязвимость Stagefright одновременно с компанией Zimperium http://t.co/GDILsZfYGX
— Born because you need (@luxergoo) July 30, 2015
Взломщикам достаточно знать ваш мобильный номер, чтобы сделать вашему смартфону «инъекцию» зловредного ПО: взлом происходит в тот момент, когда вы получаете заразное MMS. Вам даже не нужно открывать сообщение, ведь ОС сама все сделает. Ужасающе эффективная и скрытая угроза.
Уязвимость коренится в модуле Stagefright, системном инструменте Android, предназначенном для работы с видео. В процессе задействован и Google Hangouts, по умолчанию используемый системой для обработки видеосообщений. В момент проигрывания приложением полученного MMS происходит активация вируса.
95% смартфонов на #Android можно взломать #MMS-сообщением: как от этого защититься
Tweet
Попав в телефон, троянец может удалить оригинальное MMS-сообщение, чтобы замести все следы. Зловред способен шпионить за владельцем телефона с помощью камеры и микрофона, слить данные в Сеть и выполнить многие другие неприятные операции.
Google недавно подготовила дополнительные обновления безопасности для смартфонов линейки Nexus. К сожалению, если вы не являетесь счастливым владельцем подобного устройства, вы можете никогда не получить обновления для своей модели телефона. Нежелание производителей смартфонов поставлять патчи уже общеизвестно, особенно для телефонов преклонного возраста — старше 18 месяцев.
А на твой Андроид смартфон вообще никогда обновление не прилетит!
— Блискавка МакКвін (@kotexplorer) March 21, 2015
Тем временем CyanogenMod, альтернативная ОС для Android-смартфонов, уже порадовала пользователей соответствующими патчами. Если ваш производитель не смог подготовить нужное обновление безопасности, выберите один из предложенных ниже костылей, чтобы защитить свой смартфон хотя бы на бытовом уровне.
- Вы можете удалить или отключить Google Hangouts. Правда, этого недостаточно: если вы случайно откроете не то MMS, то вирус все равно попадет в систему.
- В настройках телефона можно отключить функцию получения MMS-сообщений.
- Можно рутануть телефон и отключить Stagefright. После этого ничто не мешает пойти еще дальше и сменить ОС.
- На радость производителям, вы можете купить новый смартфон, получивший обновление, и расслабиться до тех пор, пока кто-нибудь не обнаружит новый вопиющий баг.
Судя по этому списку, идея хотя бы временно перейти на CyanogenMod уже не кажется такой уж радикальной, ведь что бы вы ни выбрали, вам все равно придется столкнуться с разными неудобствами.
Уязвимы более 95% устройств.Чтобы снизить риски использования телефонов необходимо: Отключить автоматический прием MMS
— Valentin Confiance (@valu_confiance) July 30, 2015
Впрочем, самый быстрый и простой способ обезопасить себя в рамках текущей ОС и уже имеющегося устройства — это отключить обработку MMS для Hangouts или другого приложения, отвечающего за обмен сообщениями. На это уйдет буквально минута:
- откройте Hangout;
- выберите в верхнем левом углу пункт «Опции»;
- выберите «Настройки» -> SMS;
- уберите галочку рядом с «Включить MMS» в меню расширенных настроек.
Для других приложений по обмену сообщениями вы можете сделать то же самое так:
- откройте приложение;
- нажмите на три точки в верхнем правом углу;
- выберите «Настройки» -> «Мультимедийные сообщения»;
- уберите галочку с опции автоприема MMS.
Будем надеяться, что производители смартфонов наконец отнесутся к этой проблеме серьезно. Мы все способны добавить им немного энтузиазма: для этого можно, к примеру, адресовать несколько твитов напрямую производителю, так как у большинства из них есть службы поддержки клиентов в социальных сетях.