Logo ko.androidermagazine.com
Logo ko.androidermagazine.com
» 소프트웨어
소프트웨어

Stagefright 2.0에 대해 알아야 할 사항

Stagefright 2.0에 대해 알아야 할 사항

차례:

Anonim

지난 몇 달 동안 널리 알려진 Stagefright라는 일련의 문제를 둘러싼 많은 불확실성이 가득 찼습니다.이 문제는 Android의 libstagefright와 관련이 있기 때문에 얻은 ​​이름입니다. 보안 회사 Zimperium은 휴대 전화에서 악성 코드를 실행하기 위해 조작 할 수있는 mp3 및 mp4 파일과 관련된 두 가지 새로운 문제와 함께 Stagefright 2.0이라는 것을 발표했습니다.

여기까지 우리가 알고있는 것과 자신을 안전하게 지키는 방법이 있습니다.

Stagefright 2.0이란 무엇입니까?

Zimperium에 따르면 최근에 발견 된 한 쌍의 취약점으로 인해 공격자가 MP3 또는 MP4와 같은 파일로 Android 휴대폰 또는 태블릿을 제시 할 수 있으므로 해당 파일의 메타 데이터가 OS에서 미리 볼 때 해당 파일을 실행할 수 있습니다 악성 코드. Man in the Middle 공격이나 이러한 잘못된 파일을 전달하기 위해 특별히 구축 된 웹 사이트가있는 경우이 코드는 사용자가 알지 못하는 상태에서 실행될 수 있습니다.

Zimperium은 원격 실행을 확인했으며 8 월 15 일에이를 Google의 주목을 끌었다 고 주장했습니다. 이에 대한 응답으로 Google은 CVE-2015-3876과 CVE-2015-6602를보고 된 문제에 할당하고 수정 작업을 시작했습니다.

휴대 전화 나 태블릿이 영향을 받습니까?

어떤 식 으로든 그렇습니다. CVE-2015-6602는 libutils의 취약점을 나타냅니다. Zimperium은이 취약점의 발견을 알리는 게시물에서 지적한대로 Android 1.0까지 돌아가는 모든 Android 전화 및 태블릿에 영향을 미칩니다. CVE-2015-3876은 모든 Android 5.0 이상 전화 또는 태블릿에 영향을 미치며 이론적으로 웹 사이트 나 사람을 통해 중간 공격을받을 수 있습니다.

하나.

현재이 취약점에 대한 공개 사례는 실험실 조건 이외의 것을 악용하는 데 사용 된 적이 없으며 Zimperium은이 문제를 입증하기 위해 사용한 개념 증명 악용을 Google에 공유 할 계획이 없습니다. Google이 패치를 발행하기 전에 다른 사람이이 악용을 알아낼 수는 있지만이 악용에 대한 세부 정보는 여전히 비공개로 유지되지는 않습니다.

Google은 이것에 대해 무엇을하고 있습니까?

Google의 성명에 따르면 10 월 보안 업데이트는이 두 가지 취약점을 모두 해결합니다. 이 패치는 AOSP에서 만들어지며 10 월 5 일부터 Nexus 사용자에게 배포됩니다. Eagle eyed 독자들은 최근 살펴본 Nexus 5X 및 Nexus 6P에 이미 10 월 5 일 업데이트가 설치되어 있음을 알았을 것입니다. 따라서 이러한 전화 중 하나를 사전 주문하면 이러한 취약점에 대해 하드웨어가 패치됩니다. 패치에 대한 추가 정보는 10 월 5 일 Android 보안 Google 그룹에 있습니다.

Nexus 이외 전화의 경우 Google은 9 월 10 일 파트너에게 10 월 보안 업데이트를 제공했으며 가능한 한 빨리 업데이트를 제공하기 위해 OEM 및 이동 통신사와 협력하고 있습니다. 마지막 Stagefright 익스플로잇에서 패치 된 장치 목록을 살펴보면이 프로세스에서 어떤 하드웨어가 우선 순위를 차지하는 지에 대한 합리적인 그림을 얻을 수 있습니다.

휴대 전화 나 태블릿 용 패치가 도착할 때까지 어떻게 안전합니까?

누군가가 Stagefright 2.0 익스플로잇을 실제로 사용하고 Android 사용자를 감염 시키려고 시도하는 경우 (공개 세부 정보가 부족할 가능성이 거의 없음), 안전을 유지하기위한 열쇠는 사용자의 위치에주의를 기울이는 것과 관련이 있습니다. 찾아보기 및 연결된 내용.

가능하면 공용 네트워크를 피하고 가능할 때마다 2 단계 인증을 사용하고 가능한 한 그늘진 웹 사이트에서 멀리 떨어져 있어야합니다. 대부분 자신을 안전하게 지키기위한 상식적인 웹 콘텐츠

이것이 세상의 끝인가?

조금도 아닙니다. 모든 Stagefright 취약점은 심각하고 처리해야하지만, 이러한 문제를 최대한 신속하게 해결하기 위해 Zimperium과 Google 간의 커뮤니케이션이 환상적이었습니다. Zimperium은 Android 문제에 대해주의를 환기 시켰으며 Google은 그 문제를 해결하기 시작했습니다. 완벽한 세상에서는 이러한 취약점이 존재하지 않지만 신속하게 처리되고 있습니다. 우리가 처한 상황을 감안할 때 그 이상을 요구할 수는 없습니다.

소프트웨어

편집자의 선택