Kai kuriais atvejais, kai telefonas piktybinį kodą apdoroja pirmiau nei atidaro žinutę, vartotojas apie ataką net nesužino ir neturi galimybės apsaugoti savo duomenis nuo vagystės. Ekspertų teigimu, tai – kol kas didžiausia „Android“ įrenginių saugumo spraga.
„Zimperium zLabs“ ekspertas Joshua Drake'as, apie spragas pranešęs dar šių metų balandį, sakį, kad „Google“ savo partneriams išsiuntinėjo pataisymus, tačiau, jo žiniomis, didžioji telefonų gamintojų dalis tų pataisymų neišplatino ir savo klientų neapsaugojo. „Turėtų būti manoma, kad pažeidžiami yra visi įrenginiai“, – sakė „Zimperium“ platformų tyrimo ir silpnybių paieškos viceprezidentas J. Drake'as. Jo manymu, pažeidžiami gali būti 950 mln. „Android“ telefonų. Jo teigimu, šios saugumo spragos nėra tik įrenginiuose, kurių operacinė sistema yra „Android 2.2“ arba senesnė.
Spragos slypi daugialypės terpės atvaizdavimo įrankyje „Stagefright“. Visos jos susijusios su „nuotolinio kodo vykdymo“ klaidomis, kurios piktavaliams programišiams suteikia galimybę įsibrukti į įrenginį ir išvogti privačius duomenis. Programišiui tereikėtų išsiuntinėti specialiai parengtą MMS žinutę savo taikinių telefono numeriais, sako J. Drake'as. Tokia žinutė suteiktų galimybę į telefoną įrašinėti pageidaujamą kodą ir vogti duomenis iš visų telefono vietų, kurias gali pasiekti „Stagefright“ įrankis. O tai paprastai būna garso ir vaizdo įrašai, nuotraukos. Per „Stagefright“ galima gauti prieigą ir prie „Bluetooth“ ryšio.
Priklausomai nuo programėlės, naudojamos MMS žinučių peržiūrai, auka gali net nesužinoti, kad jis yra atakuojamas. J. Drake'as išsiaiškino, kad jeigu piktybinė žinutė yra atidaroma per „Google Hangouts“, joje esantis kodas būtų įvykdytas nedelsiant, net prieš gaunant pranešimą apie gautą žinutę. O kol pranešimas apie gautą žinutę nepateikiamas vartotojui, jos ištrinti neįmanoma, todėl ataką galima įvykdyti visiškai slapčia.
„Atlikau daug bandymu su „Google Nexus“ telefonu su „Ice Cream Sandwich“ sistema, jame MMS žinutės pagal nutylėjimą atidaromos su „Messenger“ programėle. Ji piktybinio kodo automatiškai neįvykdo, bet jei tik MMS žinutė atidaroma, nereikia net bandyti paleidinėti jos turinio“, – sakė ekspertas.
Tikėtina, kad per šią saugumo spragą į telefoną galima įbrukti ir kitų piktybinių kodų, kurie „išplėstų prieigą“, taip programišiams suteikiant galimybę gauti ir daugiau duomenų iš telefono. Anot J. Drake'o, tokių kodų rasti ganėtinai paprasta – ne vienas yra netgi viešai paskelbtas.
Jis pažymi, kad kai kuriuose senesniuose telefonuose – pavyzdžiui, „Samsung Galaxy S4“ ar „LG Optimus Elite“ – nesaugus procesas vykdomas su sistemos lygio prieiga, kas reiškia, kad per jį galima gauti labai daug įvairių duomenų. „Visiškai nesuvokiu, kam tai reikalinga... su šiuo įrankiu ir taip galima pridaryti rimtų kiaulysčių, ir privilegijų išplėtimas jam tikrai nereikalingas“.
„Google“ apie saugumo spragas buvo informuoti balandžio 9 dieną. Vos po dienos J. Drake'as iš „Google“ gavo patvirtinimą, kad spragą užtaisantys atnaujinimai yra priimti bei bus įtraukti į artimiausią sistemos atnaujinimą. Apie antrą spragų rinkinį „Google“ buvo informuoti gegužės 4 ir 8 dienomis, o „Google“ patvirtino, kad pataisymų ruošimas įtrauktas į darbų grafiką. Iš viso „Google“ parengė 7 pataisas J. Drake'o atrastoms spragoms.
Tačiau parengti pataisas yra viena. Visai kas kita – jas pristatyti į įrenginius. „Google Nexus“ įrenginių atveju tai yra kiek paprasčiau – jų atnaujinimus „Google“ platina tiesiogiai. Nors štai net J. Drake'o bandytame „Nexus 6“ aparate su naujausia programine įranga buvo ištaisytos ne visos klaidos. Anot eksperto, įrenginiai, kurių operacinė sistema yra senesnė nei „Jelly Bean“ (versija 4.1) – tokių yra apie 100 milijonų – yra su „nepakankama apsauga nuo spragų išnaudojimo“ ir negali apsaugoti nuo „Stagefright“ atakų MMS žinutėmis.
Tuo tarpų trečiųjų šalių gamintojai savo telefonų naudotojams atnaujinimus tradiciškai platina labai tingiai. „Forbes“ žurnalistams į klausimus apie atnaujinimų platinimo būklę neatsakė nei HTC, nei LG, nei „Lenovo“, nei „Motorola“, nei „Sony“, nei „Samsung“. „Tokios informacijos surinkimas ir sukompiliavimas iš skirtingų šaltinių yra atvira problema. Deja, jie nėra labai linkę bendradarbiauti“, – sakė J. Drake'as.
Bet už tai jis negailėjo komplimentų „Blackphone“ telefonų gamintojams „Silent Circle“ - ši bendrovė įrenginių privatumą vertina kaip pagrindinį savo prioritetą. Be to, „Mozilla“ kartu su naršyklės „Firefox 38“ versijos išplatinimu, taip pat užtaisė šioje naršyklėje naudojamo įrankio „Stagefright“ saugumo spragas
Visoms spragoms yra suteikti kodiniai pavadinimai: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829.
Išplatinus šią informaciją tikėtina, kad piktavaliai programišiai pradės aktyviai ieškoti galimybių šiomis spragomis pasinaudoti, bet taip pat aktyviai darbo imsis ir saugumo ekspertai. O gamintojai bus paraginti skubiai šalinti problemą.
