Android i zabójcze (nie tylko) MMS-y

Taki – całkowicie automatyczny – scenariusz dotyczy wprawdzie tylko osób, które mają włączone pobieranie MMS-ów, ale marne to pocieszenie. Bo atak można również przeprowadzić przy pomocy maila z dołączonym ślicznym koteczkiem, strony www z gołymi płytami głównymi czy filmikiem z zakończeniem MGS-a V.

Czy jestem bezpieczny?

Szczegóły błędu (nazwano go StageFreight, od biblioteki, w której ona występuje – ma już nawet własne logo) są póki co znane jedynie jego odkrywcom z Zimperium oraz zespołom zajmującym się bezpieczeństwem w Google, BlackPhone i Mozilli. Niektórzy producenci zaczęli już wypuszczać patche, załatali go także twórcy CyanogenModa.

Tyle że luka jest obecna we wszystkich wersjach Androida począwszy od 2.2 do najnowszej włącznie. To razem daje mniej więcej 950 milionów smartfonów. Nie ma się co łudzić, że załatane zostaną wszystkie. Zwłaszcza że data publicznej prezentacji luki została już zapowiedziana. Na przyszły tydzień – odbędzie się ona podczas poświęconej bezpieczeństwu konferencji Black Hat. Naiwnością byłoby twierdzić, że hakerzy poczekają z jej wykorzystaniem dłużej niż kilka godzin.

Jak żyć?

Przede wszystkim należy wyłączyć automatyczne pobieranie MMS-ów (szczegóły zależą od używanego programu). Ten krok wystarczy, żeby luki nie dało się wykorzystać bez interakcji ze strony użytkownika telefonu. Niestety, nie chroni on w 100%, bo MMS-a nadal można otworzyć ręcznie. Podobnie jak załączniki przesyłane pocztą czy komunikatorami. Lukę mogą też wykorzystać specjalnie spreparowane strony www – na te wystarczy tylko wejść, nie trzeba nawet na nic klikać ani niczego potwierdzać.

Innymi słowy do czasu pojawienia się łatek korzystanie z urządzeń z Androidem będzie mało bezpieczne i tak na dobrą sprawę wypadałoby się przesiąść na Nokię. Najlepiej 3210.