![Kaip atnaujinti į didesnį kietąjį diską, iš naujo neįdiegus „Windows“](/f/dd46e05ed8fedd1c204ecf1078e0c183.jpg?width=100&height=100)
Neseniai saugumo tyrėjai atrado naują rimtą pažeidžiamumą, kuris gali priversti įsilaužėlius perimti jūsų išmanųjį telefoną naudodamas tiesiog paprastą vaizdą naudodamas „ExifInterface“.
Taip, tai reiškia, kad įsilaužėliai dabar gali nuotoliniu būdu nulaužti bet kurį „Android“ įrenginį vieno vaizdo pagalba.
„Android“ įrenginių savininkai turėtų būti budrūs, nes iš pirmo žvilgsnio nekaltas socialiniame tinkle ar „Messenger“ gautas vaizdas gali pakenkti jūsų išmaniojo telefono privatumui ir saugumui. 2016 m. Rugsėjo 6 d., Antradienį, „Google“ išleido planuojamus „Android“ naujinius, įskaitant pažeidžiamumo „Quadrooter“ ištaisymą. Tačiau rugsėjo mėn 1-oji įmonė ištaisė anksčiau nežinomą kritinį pažeidžiamumą, kurį aptiko „SentinelOne Tim“ informacijos saugumo ekspertas Strazzere.
Pažeidžiamumas primena pagarsėjusį „Stagefright“, leidžia nulaužti „Android“ valdomą įrenginį paprastu tekstiniu pranešimu, vartotojas gali net nežinoti apie jo gavimą. Dabar, norėdamas įvykdyti ataką, užpuolikui reikia tik nusiųsti kenksmingą nuotrauką. Vartotojui net nereikia jo spausti - kol telefonas neanalizuoja vaizdo duomenų, užpuolikas gali nuotoliniu būdu ir tyliai kontroliuoti užkrėstą įrenginį.
Pažeidžiamumas CVE-2016-3862 atsirado dėl klaidos apdorojant EXIF duomenų fiksavimą „Mediaserver“ programoje. „Norint išnaudoti pažeidžiamumą, nereikia didelio vartotojų įsitraukimo, nes pakanka tam tikru būdu sukurti programą vaizdams atsisiųsti. Pažeidžiamumas yra toks pat paprastas, kaip ir gauti pranešimą ar el. Laišką iš kažko. Kai programa gauna vaizdą, ji pradeda vaizdo analizę ir tai vyksta automatiškai.
„Kadangi klaida suveikia be daug vartotojo sąveikos - programai reikia įkelti vaizdą tik tam tikru būdu - suaktyvinti klaidą yra taip paprasta, kaip gauti pranešimą ar el. Laišką iš kažko. Tačiau, kai ta programa bando analizuoti vaizdą (kas buvo padaryta automatiškai), įvyksta avarija “, - sakė Timas Strazzere'as.
Anot tyrėjų, užpuolikas gali įterpti išsiųsto vaizdo pažeidžiamumą, o tai yra paprastas išnaudojimas norint nulaužti aukos įrenginį.
Timas Strazzere'as rašė, kad pažeidžiamų įrenginių išnaudojimas ir, kaip paaiškėjo, jis tinka „Gchat“, „Gmail“ ir populiariausioms tiesioginių pranešimų programoms bei socialinių tinklų programoms. Be to, pažeidžiamumas veikia visus įrenginius, kuriuose veikia „Android“ versijos nuo 4.4.4 „Kitkat“ iki 6.0.1 „Marshmallow“.