לְעַדְכֵּן: יום חמישי, 30 ביולי, 11:08 בבוקר ET: בעקבות הדיווח הראשוני שלנו, דובר Google שלח לנו את ההצהרה הבאה:
בעוד הצוות שלנו עוקב מקרוב אחר ניצול פוטנציאלי, לא ראינו שום עדות לניצול ממשי.
אם יש ניצול ממשי של זה, הסיכון היחיד למשתמשים הוא הפרעה זמנית להפעלת המדיה במכשיר שלהם. לכן, פשוט הסרת ההתקנה של האפליקציה שאינה מגיבה או אי חזרה לאתר שגורם לדפדפן להיתקע תתקן את הבעיה. בנוסף, נספק תיקון בגרסה עתידית של אנדרואיד.
ימים לאחר פגם אבטחה במערכת השמעת המדיה של אנדרואיד, Stagefright היה פומבינחשף, מאיים על כמעט מיליארד מכשירי אנדרואיד, פגם אבטחה רחב היקף יכול לשמש כדי להפוך את מכשיר האנדרואיד של הקורבן לבלתי מגיב לחלוטין.
על פי חברת האבטחה Trend Micro, אשר בפומבינחשףמידע על הפגיעות ביום רביעי, פגם האבטחה החדש משפיע על כל המכשירים המריצים אנדרואיד 4.3 לגרסה הנוכחית, 5.1.1. לפי הספירה של גוגל, זה בערך57 אחוזמכל מכשירי האנדרואיד הנמצאים בשימוש היום -- אויותר מ900 מיליון מכשירים.
ראה גם:
בדיוק כמו באג של Stagefright, ליקוי האבטחה החדש נובע מהאופן שבו אנדרואיד מטפל בווידאו. שירות שרת המדיה, המשמש את אנדרואיד לאינדקס קבצי מדיה במכשיר, עלול להיגרם לקריסה אם הוא נתקל בסרטון "שגוי" באמצעות הקונטיינר Matroska (בדרך כלל קובץ .mkv). ברגע שזה יקרה, מכשיר האנדרואיד יהפוך ל"שקט לחלוטין ולא מגיב", לפי Trend Micro - לא תוכל לשמוע צלצול או כל צלילי התראה או לקבל שיחה; ממשק המשתמש של המכשיר יהפוך לאיטי מאוד, ואם הטלפון נעול, לא תוכל לבטל את נעילתו.
האקר זדוני יכול להגדיר אתר שיעשה זאת לטלפון שלך, עם קובץ ה-.mkv מוטבע בדף HTML, אך סביר להניח שניתן יהיה לתקן זאת על ידי הפעלה מחדש של המכשיר. עם זאת, סוג אחר של התקפה אפשרי: אם תוקף יוצר אפליקציה עם קובץ .mkv מוטבע שמופעל אוטומטית באתחול, המכשיר פשוט יקרוס מיד לאחר הפעלתו.
הפגיעות הספציפית הזו אינה מאפשרת ביצוע קוד מרחוק, מה שהופך אותו למסוכן פחות מהבאג של Stagefright. עם זאת, Trend Micro חושדת ששירות שרת המדיה יכול להכיל באגים נוספים שטרם התגלו.
טרנד מיקרו דיווחה על הפגיעות לגוגל, שלפי חברת האבטחה תייגה אותה כפרצת "עדיפות נמוכה". יצרנו קשר עם Google בנוגע לליקוי האבטחה החדש ונעדכן את המאמר כשנשמע מהם.
