Black Hat 2015: Ερευνητές ανακάλυψαν μια ευπάθεια σε συσκευές Android που επιτρέπει σε hackers να έχουν πρόσβαση σε μια συσκευή από απόσταση χωρίς να το μάθει ποτέ ο ιδιοκτήτης της. Το ελάττωμα επηρεάζει περίπου το 95% των συσκευών με Android που τρέχουν τις εκδόσεις του λειτουργικού συστήματος από την 2.2 έως και την 5.1, σύμφωνα με την εταιρεία ασφάλειας Zimperium.
Το σφάλμα οφείλεται σε μια βιβλιοθήκη πολυμέσων (χρησιμοποιείται για την επεξεργασία αρχεία πολυμέσων) που ονομάζεται Stagefright.
Η Zimperium αναφέρει ότι βρέθηκαν πάρα πολλές ευπάθειες στο συγκεκριμένο framework. Η εταιρεία σχεδιάζει να παρουσιάσει την έρευνά της στο συνέδριο Black Hat 2015 που θα πραγματοποιηθεί τον Αύγουστο.
Χρησιμοποιώντας τον αριθμό τηλεφώνου ενός ατόμου, οι hackers μπορούν να στείλουν ένα αρχείο πολυμέσων μέσω MMS που τους επιτρέπει την είσοδο σε μια συσκευή. Το πραγματικά ανησυχητικό μάλιστα, είναι ότι ο ιδιοκτήτης της συσκευής δεν θα το μάθει ποτέ.
Οι hackers θα μπορούσαν θεωρητικά να στείλουν μέσω του αρχείου trojan ενώ ο ιδιοκτήτης της συσκευής κοιμάται,και να αποκτήσουν πρόσβαση στο τηλέφωνό του. Στη συνέχεια μπορούν να διαγράψουν κανένα αποδεικτικό στοιχείο που φανερώνει ότι το τηλέφωνο παραβιάστηκε.
Μόλις ολοκληρωθεί το exploit, ο hacker μπορεί να χρησιμοποιήσει από απόσταση το μικρόφωνο ενός τηλεφώνου, να κλέψει αρχεία, να διαβάζει τα μηνύματα ηλεκτρονικού ταχυδρομείου, και να υποκλέψει όλα τα προσωπικά διαπιστευτήρια.
“Αυτά τα τρωτά σημεία είναι εξαιρετικά επικίνδυνα, επειδή δεν απαιτούν από το θύμα να προβεί σε οποιαδήποτε ενέργεια για να αξιοποιηθούν. Σε αντίθεση με το spear-phishing, όπου το θύμα θα πρέπει να ανοίξει ένα αρχείο PDF ή μια σύνδεση που έχει αποσταλεί από τον εισβολέα, αυτή η ευπάθεια μπορεί να ενεργοποιηθεί ενώ το θύμα κοιμάται. Πριν να ξυπνήσει, ο εισβολέας θα αφαιρέσει όλες τις ενδείξεις που παρουσιάζουν ότι η συσκευή παραβιάστηκε και θα συνεχίσει να έχει πρόσβαση στο trojaned τηλέφωνο”, αναφέρει ο υπεύθυνος τεχνολογίας της Zimperium, Zuk Avraham.
Φυσικά μετά από αυτό η Google θα πρέπει να ενημερώσει άμεσα όλες τις εκδόσεις του Android, κάτι που είναι πάρα πολύ δύσκολο.