Перейти к содержимому

Просмотр новых публикаций
Фотография

Миллиард устройств на Android можно взломать, переслав им видео


  • Авторизуйтесь для ответа в теме
В теме одно сообщение

#1 Михась

Михась

    Старожил

  • Старичёк
  • PipPipPipPipPipPipPipPipPipPip
  • 831 сообщений

Отправлено 30 Июль 2019 - 15:23

RCE-уязвимость, исправленная в июльском обновлении Android, позволяет с помощью специально подготовленного видеофайла вызвать сбой в штатном медиаплеере системы или запустить вредоносный код.

Видеодоказательство на миллиард

Критическая уязвимость в Android версий 7.0-9.0 позволяет производить взлом устройства с помощью видеофайла.

Получившая индекс CVE-2019-2107 уязвимость потенциально затрагивает около миллиарда устройств во всём мире.

«Баг» присутствует в медиафреймворке Android; благодаря ему злоумышленник с помощью специально подготовленного видеофайла запустить произвольный код в контексте процесса с высокими привилегиями в системе.

Программист Марцин Козловски (Marcin Kozlowski) представил пробный эксплойт, который способен вызвать сбой в работе встроенного медиаплеера Android. Впрочем, разработчик уверяет, что это самый безобидный вариант использования «бага». Аналогичный эксплойт можно использовать и для запуска произвольного кода.

Вопрос кодировки
Впрочем, по словам эксперта, видеофайл потребуется передать на устройство напрямую: в случае загрузки на Youtube или в Twitter и пересылки через WhatsApp или Facebook Messenger, атака не сможет быть реализована, поскольку в этих ресурсах производится перекодирование видеофайла, и потенциально вредоносный фрагмент кода теряется.

С помощью специально подготовленного видеофайла можно вызвать сбой в штатном медиаплеере Android или запустить вредоносный код
«Этим угроза атаки несколько смягчается, - считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Прямая отправка видеофайла в условиях, когда нормой считается загрузка видео на специализированные хостинги или в социальные сети, - это уже достаточно подозрительное явление. Другое дело, что с помощью нехитрой социальной инженерии можно заставить среднестатистического пользователя открыть и запустить и нечто куда менее безобидное, чем видеофайл».

Исправления в Android были внесены ещё в июльском обновлении операционной системы, однако миллионы устройств ещё не получили обновления от производителя, так что угроза сохраняется.


  • 2

Ксивы любого образца, только лучшее качество! Стучите в лс!

 


#2 Чубайс

Чубайс

    Проверенный участник Darksales

  • Пользователи
  • PipPipPipPipPipPipPipPipPipPip
  • 319 сообщений

Отправлено 01 Август 2019 - 16:13

Парни жесть ! Защита вялая.


  • 0




Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных