Isi kandungan:
- Apakah Stagefright 2.0?
- Adakah telefon atau tablet saya terjejas?
- Apa yang dilakukan oleh Google mengenai perkara ini?
- Bagaimanakah saya selamat sehingga patch tiba untuk telefon atau tablet saya?
- Adakah ini akhir dunia?
Beberapa bulan yang lalu telah dipenuhi dengan banyak ketidakpastian yang mengelilingi beberapa isu yang bernama Stagefright, nama yang diperolehi kerana kebanyakan isu yang ditemui ada kaitan dengan libstagefright di Android. Firma keselamatan Zimperium telah menerbitkan apa yang mereka panggil Stagefright 2.0, dengan dua isu baru yang mengelilingi mp3 dan fail mp4 yang boleh dimanipulasi untuk melaksanakan kod berniat jahat pada telefon anda.
Inilah yang kami tahu setakat ini, dan bagaimana untuk menjaga diri anda selamat.
Apakah Stagefright 2.0?
Menurut Zimperium, sepasang kerentanan baru-baru ini yang diketahui memungkinkan penyerang untuk membentangkan telefon atau tablet Android dengan fail yang kelihatan seperti MP3 atau MP4, jadi apabila metadata untuk fail itu dipratonton oleh OS yang boleh dijalankan kod jahat. Sekiranya seorang lelaki dalam serangan Tengah atau laman web yang dibina khusus untuk menyampaikan fail-fail yang salah, kod ini boleh dilaksanakan tanpa pengguna yang mengetahui.
Zimperium mendakwa telah mengesahkan pelaksanaan jauh, dan membawa ini kepada perhatian Google pada 15 Ogos. Sebagai tindak balas, Google menyerahkan CVE-2015-3876 dan CVE-2015-6602 kepada sepasang isu yang dilaporkan dan mula bekerja pada pembetulan.
Adakah telefon atau tablet saya terjejas?
Dalam satu cara atau yang lain, ya. CVE-2015-6602 merujuk kepada kelemahan dalam libutils, dan sebagai Zimperium menunjukkan dalam catatan mereka yang mengumumkan penemuan kelemahan ini, ia memberi kesan kepada setiap telefon Android dan tablet yang akan kembali sejauh Android 1.0. CVE-2015-3876 memberi kesan kepada setiap Android 5.0 dan lebih tinggi telefon atau tablet, dan secara teorinya boleh dihantar melalui laman web atau lelaki dalam serangan pertengahan.
HOWEVER.
Pada masa ini tidak ada contoh umum tentang kelemahan ini yang pernah digunakan untuk mengeksploitasi apa-apa di luar keadaan makmal, dan Zimperium tidak merancang untuk berkongsi eksploitasi bukti-konsep yang mereka gunakan untuk menunjukkan masalah ini kepada Google. Walaupun ada kemungkinan orang lain dapat memanfaatkan ini sebelum Google mengeluarkan patch, dengan butiran di belakang mengeksploitasi ini masih disimpan secara rahasia itu tidak mungkin.
Apa yang dilakukan oleh Google mengenai perkara ini?
Mengikut pernyataan dari Google, Kemas kini Keamanan Oktober menangani kedua-dua kelemahan ini. Tatal ini akan dibuat di AOSP dan akan dilancarkan kepada pengguna Nexus mulai 5 Oktober. Pembaca bermata Eagle mungkin menyedari Nexus 5X dan Nexus 6P yang kita lihat baru-baru ini sudah dipasang pada 5 Oktober, jadi jika anda pra-memerintahkan salah satu daripada telefon itu perkakasan anda akan tiba ditambal terhadap kelemahan ini. Maklumat tambahan pada patch akan berada di Kumpulan Google Android Keselamatan pada 5 Oktober.
Bagi telefon bukan Nexus, Google menyediakan Kemas Kini Keselamatan Oktober kepada rakan kongsi pada 10 September, dan telah bekerjasama dengan OEM dan pembawa untuk menyampaikan kemas kini secepat mungkin. Jika anda melihat senarai peranti yang ditambal dalam eksploit Stagefright yang terakhir, anda mempunyai gambaran yang munasabah tentang perkakasan apa yang dianggap sebagai keutamaan dalam proses ini.
Bagaimanakah saya selamat sehingga patch tiba untuk telefon atau tablet saya?
Sekiranya seseorang benar-benar menjalankan dengan menggunakan eksploitasi Stagefright 2.0 dan cuba menjangkiti pengguna Android, yang sekali lagi tidak mungkin disebabkan oleh kekurangan maklumat awam, kunci untuk kekal selamat mempunyai segala-galanya dengan memberi perhatian kepada mana- melayari semula dan apa yang anda sambungkan.
Elakkan rangkaian awam apabila anda boleh, bergantung pada pengesahan dua faktor bila mungkin, dan tinggal jauh dari laman web yang rendang seperti yang anda mungkin boleh. Kebanyakannya, barangan web akal untuk menjaga diri anda selamat.
Adakah ini akhir dunia?
Tidak sedikit pun. Walaupun semua kelemahan Stagefright memang serius dan perlu dirawat seperti itu, komunikasi antara Zimperium dan Google memastikan isu-isu ini ditangani secepat yang mungkin telah hebat. Zimperium telah memberi perhatian kepada masalah dengan Android, dan Google telah melangkah masuk untuk menetapkannya. Di dunia yang sempurna kelemahan ini tidak akan wujud, tetapi mereka lakukan dan sedang ditangani dengan cepat. Tidak boleh meminta lebih banyak daripada itu, memandangkan keadaan yang kita ada.
