Миллиард устройств на Android можно взломать, переслав им видео

Миллиард устройств на Android можно взломать, переслав им видео

Спецпроекты

cnews.ru/inc/design2019/img/icons/caret-down.png" alt="">

Критическая уязвимость в Android версий 7.0-9.0 позволяет производить взлом устройства с помощью видеофайла.

Получившая индекс CVE-2019-2107 уязвимость потенциально затрагивает около миллиарда устройств во всём мире.

«Баг» присутствует в медиафреймворке Android; благодаря ему злоумышленник с помощью специально подготовленного видеофайла запустить произвольный код в контексте процесса с высокими привилегиями в системе.

Программист Марцин Козловски (Marcin Kozlowski) представил пробный эксплойт, который способен вызвать сбой в работе встроенного медиаплеера Android. Впрочем, разработчик уверяет, что это самый безобидный вариант использования «бага». Аналогичный эксплойт можно использовать и для запуска произвольного кода.

Впрочем, по словам эксперта, видеофайл потребуется передать на устройство напрямую: в случае загрузки на Youtube или в Twitter и пересылки через WhatsApp или Facebook Messenger, атака не сможет быть реализована, поскольку в этих ресурсах производится перекодирование видеофайла, и потенциально вредоносный фрагмент кода теряется.

aaandroid600.jpg

«Этим угроза атаки несколько смягчается, - считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Прямая отправка видеофайла в условиях, когда нормой считается загрузка видео на специализированные хостинги или в социальные сети, - это уже достаточно подозрительное явление. Другое дело, что с помощью нехитрой социальной инженерии можно заставить среднестатистического пользователя открыть и запустить и нечто куда менее безобидное, чем видеофайл».

Исправления в Android были внесены ещё в июльском обновлении операционной системы, однако миллионы устройств ещё не получили обновления от производителя, так что угроза сохраняется.

Китайцы выпускают собственный опенсорнсный процессор

Идет ко дну легендарный производитель смартфонов Meizu. Закрыты все магазины, уволена треть сотрудников

Выпущен Linux-ноутбук для параноиков по цене дешевого смартфона. Видео

Российскому искусственному интеллекту нужны 180 миллиардов

Россияне выпустили дешевый «бронебойный» мобильник

Xiaomi готовит 4К-телевизоры Redmi «по смешной цене»

Александр Шохин

президент Российского союза промышленников и предпринимателей

Елена Сучкова

заместитель Председателя ФОМС

Александр Шохин

президент Российского союза промышленников и предпринимателей

Все права защищены © 1995 – 2019

Материалы, помеченные знаком ■ опубликованы на коммерческой основе