Ligi šiol viskas buvo paprasta – kažkur pasaulyje veikia programišiai, kurie vis mėgina tave apgauti ir priversti paspausti kažkokią nesaugią nuorodą ar įdiegti duris jiems atversiančią nesaugią programą. Jei esi protingai atsargus, tau tai beveik negresia.
Prieš kurį laiką išlindusi „iPhone“ bėda, kai gavus tam tikrą SMS telefonas užsirakina ir nebeveikia, atskleidė naujos kartos bėdą – įrenginiams vis išmanėjant, jie sugeba susirgti ir be savininko valios.
Tyrėjų kompanijos „Zimperum“ atskleista nauja įsilaužimo į „Android“ telefonus technologija veikia dar pikčiau. Pakanka gauti MMS žinutę ir nebereikia nei jos atidarinėti, nei priimti – jūsų telefonas jau „nulaužtas“. Ir toliau nieko neįtardami naudositės užkrėstu įrenginiu.
„Įsilaužėliui tereikia žinoti jūsų telefono numerį ir jis gali nuotoliniu būdu aktyvuoti įsilaužimo kodą. Tam naudojamas specialiai sukurtas failas, kurį pasiųs jums MMS žinute“, – rašoma pirmadienį išplatintame „Zimperium“ pranešime.
Po to žinutė gali būti nuotoliniu būdu ištrinta vartotojui jos nė neperskaičius, o kodas vis tiek bus įdiegtas. Ši vaizdo ir garso failų atkūrimo sistemą pažeidžianti spraga jau turi pavadinimą – „Stagefright“. Ir gali pažeisti apie 950 mln. įrenginių visame pasaulyje.
Didžiausias pavojus kyla tiems, kurie naudoja telefonus su senesne negu „Jelly Bean“ (4,3) operacinės sistemos versija (tokių pasaulyje yra 11 proc.), bet ir naujausios nėra idealiai saugios.
Įsilaužę į įrenginį programišiai gali aktyvuoti daugybę komandų – įjungti mikrofoną ir įrašinėti pokalbius, fotografuoti ir persisiųsti telefone laikomas nuotraukas, skaityti laiškus ir „Facebook“ žinutes, net nukreipti skambučius sau.
Pagydė, bet ne visus
Viena laimė, kad kol kas nėra fiksuota realaus šios spragos panaudojimo atvejų. „Zimperium“ apie ją „Google“ pranešė dar balandžio mėnesį ir kompanija tuoj sureagavo:
„Dėkojame Joshua Drake’ui („Zimperium“ darbuotojui) už jo indėlį. Mums itin svarbus vartotojų saugumas, tad sureagavome akimirksniu ir programinės įrangos atnaujinimai jau perduoti visiems mūsų partneriams, kad jie juos įdiegtų į savo gaminamus įrenginius“, – atsakė „Google“.
Ir čia išlenda viena bėda, kuri nuo seno kankina „Android“ ekosistemą. Kadangi telefonus su šia sistema gamina labai daug kompaniju, toli gražu ne visos skuba kurti ir diegti atnaujinimų visiems savo modeliams.
„Zimperium“ įkūrėjas Zukas Avrahamas teigia, kad taip ir atsitiko, ir nemažai gamintojų visai neskuba spragos užtaisyti. „Google“ atstovas teigia, kad tai nėra taip jau baisu, nes yra daugybė kitų apsaugos priemonių, kurios veikia.
Keista kompanijos, kuri kuria automobilius be vairuotojų, ramybė.
Kaip toks įsilaužimas vyksta
Išties didžiausias pavojus gresia tiems, kurie SMS ir MMS žinutėms priimti naudoja „Google“ paslaugą „Hangout“. Mat dėl vartotojo patogumo ji veikia šiek tiek aplenkdama paties vartotojo veiksmus.
Bet kokia pasiųsta žinutė ar MMS žinutės failas automatiškai parsiunčiami ir išsaugomi telefono atmintyje. Tokiu atveju, kai vartotojas prisiruošia pažiūrėti ar ištrinti gautą žinutę, jam nebereikia laukti, kol ji ateis. Patogu ir nesaugu.
Kiti gamintojai dažnai siūlo savo žinučių programėles, kurios kartais veikia kitu principu ir nėra taip pažeidžiamos, tačiau kiekvienas vartotojas vis tiek turi telefone privalomą „Hangout“.
Be to, tai atskleidžia, koks nesaugus gali tapti daiktų interneto pasaulis, kai telefonai ir išmanieji laikrodžiai pradės dalytis informacija be savininko įsikišimo.