På tampen av juli ble det avslørt et hull i Android som gjorde det mulig for hackere å hacke Googles mobil-OS kun med en MMS.
Angriper mobilen med lydfiler
Nå advarer samme sikkerhetsforsker, Joshua Drake fra Zimperium, mot to nye Stagefright-hull som kan gi hackere tilgang til Android-mobilen din.
Hva går disse to hullene ut på? Jo, ved å lure brukeren inn på en skadelig nettside, kan mobilen infiseres ved hjelp av en MP3 eller MP4-fil.
Disse to hullene er funnet i Androids multimedia-motor Stagefright, akkurat som det første hullet i sommer.
Annonse
Les også: Slik sjekker du om Android 6.0-enheten din er sikker.
Slik fungerer hullet
Dessverre er det slik at hullet utnyttes når metadata-ene i filen prosesseres, så det er nok at offerets mobil forhåndsviser filen for å bli utsatt for angrep.
«Fordi den største angripsmuligheten, MMS, er fjernet fra nyere versjoner av Google Hangouts og Messenger-app, vil de nye angrepene trolig komme fra nettleseren», forklarer selskapet, og avslører at hackere kan angripe på tre måter:
- En angriper vil prøve å overbevise en intetanende bruker til å besøke en URL som peker til en hacker-kontrollert nettside.
- En angriper på samme nettverk kan dytte hullet ved å bruke «common traffic interception techniques» (MITM) for ikke-kryptert nettverks-trafikk som er på vei til nettleseren.
- Tredjeparts-apper (mediaspillere og lynmeldingstjenester) som bruker Android-biblioket med hullet.
Google er kontaktet
Zimperium kontaktet Androids sikkerhetsteam 15. august. De gir Google ros for å være kjappe, men de er ikke ferdige med å tette enda.
Selskapet skal avsløre et «proof of concept» senere denne måneden til sine medlemmer – selskapet oppfordrer samtidig mobil-produsentene til å tette hullet.
Kilde:
Zimperium blogg
Annonse
