Эксперты уже называют данную уязвимость самой серьезной в истории операционной системы, ведь она потенциально доступна на 95% всех устройств на Android. При этом для взлома конкретного устройства злоумышленникам достаточно иметь лишь телефонный номер жертвы. Они отправляют через MMS видеофайл, который несет в себе вредный код. Поскольку уязвимость находится в штатном инструменте Android для воспроизведения мультимедийных файлов под названием Stagefright, злоумышленники в момент проигрывания видео получают возможность внедриться в систему.
Примечательно, что с английского «stage fright» переводится как «страх сцены».
Начиная с Android 4.1 Google добавила так называемые песочницы, в которых выполняются абсолютно все процессы, в том числе и работа системных приложений. Это было сделано для предотвращения влияния приложений на системные файлы, однако с помощью данной уязвимости вирус теперь все же может покинуть «песочницу». Единственные не подверженные данной уязвимости устройства на Android — это смартфоны на системе версий 2.2 и ниже. Однако в апреле таких смартфонов было всего 0,4% всех используемых.
Обнаружить проблему удалось специалисту компании Zimperium zLabs Джошуа Дрейку. По его словам (их приводит Forbes), о своей находке специалисты уведомили Google в апреле этого года и компания уже выслала всем производителям необходимые исправления в программном коде. Но Дрейк уверен, что мало кто из производителей применил эти исправления в своих прошивках.
По его подсчетам, сейчас в мире около 950 млн устройств на Android, которые можно заразить таким образом.
Google rewarded me ,337 for these patches. That's after I talked them up from ,000. Now Android has a VRP!
— Joshua J. Drake (@jduck) 27 июля 2015
Подробности об уязвимости Zimperium планируют раскрыть на конференции BlackHat 2015, которая пройдет в первые дни августа в Лас-Вегасе. Основная опасность дыры заключается в том, что жертва даже не догадывается о заражении: вирус моментально удаляет из смартфона полученное MMS-сообщение, и пользователь его уже не видит. Более того, на некоторых смартфонах вирус не дает появиться в этот момент всплывающему уведомлению и, таким образом, оказывается в системе абсолютно незамеченным.
В некоторых смартфонах, например Samsung Galaxy S4, полученный таким образом вирус получает тот же уровень доступа к ПО, что и системные процессы, что позволяет злоумышленнику иметь практически полный контроль над устройством.
Однако в целом, по словам Дрейка, последствия у взлома не настолько серьезные: на многих смартфонах с Android 4.1 Jelly Bean и выше вирусы, получившие доступ к системе через Stagefright, не имеют таких же прав, как системные приложения. Но и этого им достаточно, чтобы злоумышленник смог получать со смартфона жертвы данные.
В частности, Дрейк заявил, что Nexus 6 с последней версией ПО имеет защиту от вирусов, распространяемых по такой схеме, но пока не от всех: патчи для некоторых из них Google просто не успела добавить в систему. В свою очередь, в HTC заявили о том, что рассылка соответствующих исправлений началась в июле.
Однако стоит понимать, что далеко не все производители смартфонов на Android смогут моментально подготовить обновления для своих устройств.
Для понимания: Android 5.0 Lollipop, вышедшая в ноябре 2014 года, сейчас установлена только на 12% всех устройств на этой системе. И дело не в том, что пользователи не хотят ее ставить, но в том, что производители до сих пор не выпускают обновление для смартфонов.
Одним из способов самостоятельного избавления от потенциальной угрозы является получение root-прав и ручное отключение либо удаление Stagefright. В таком случае вредоносный код не сможет запуститься. Кроме того, в настройках SMS-приложения можно отключить автоматическую загрузку MMS-сообщений. Однако все эти решения временные и к тому же ограничивают функциональность смартфона. По этой причине патч, блокирующий возможность запуска вирусов посредством Stagefright, необходимо устанавливать при первой же возможности.