Hlavní navigace

Stagefright exploit pro Android byl zveřejněn

Jan Fikar

Ve středu byl zveřejněn exploit CVE-2015–1538 multimediální knihovny Stagefight v Androidu.

Tato zranitelnost zneužitelná například pomocí MMS je známa již od konce července, ale Zimperium bylo požádáno, aby exploit nějakou dobu nezveřejňovalo, dokud nebude hotova záplata.

Zdá se, že záplata spočívá jen v zákazu MMS v Hangouts a Messengeru a například telefon Nexus 5 s nejnovějšími záplatami je stále zranitelný třeba přes nebezpečnou webovou stránku.

Vlastní exploit je skript v Pythonu, který generuje mp4 soubor, po jehož přehrání má útočník k dispozici shell a může například snímat obrázky z kamery nebo poslouchat přes mikrofon. Exploit nefunguje na Androidu 5.0 a vyšším kvůli nové metodě ochrany při přetečení.

Kdo si chce být jistý, může použít aplikaci pro detekci zranitelnosti Stagefright Detector přímo od firmy Zimperium.

Našli jste v článku chybu?