Daftar Isi:
- Apa itu Stagefright 2.0?
- Apakah ponsel atau tablet saya terpengaruh?
- Apa yang Google lakukan tentang ini?
- Bagaimana saya tetap aman sampai tambalan tiba untuk ponsel atau tablet saya?
- Apakah ini akhir dari dunia?
Beberapa bulan terakhir telah dipenuhi dengan banyak ketidakpastian seputar serangkaian masalah yang populer bernama Stagefright, sebuah nama yang diperoleh karena sebagian besar masalah yang ditemukan berkaitan dengan libstagefright di Android. Perusahaan keamanan Zimperium telah menerbitkan apa yang mereka sebut Stagefright 2.0, dengan dua masalah baru seputar file mp3 dan mp4 yang dapat dimanipulasi untuk mengeksekusi kode berbahaya pada ponsel Anda.
Inilah yang kami ketahui sejauh ini, dan bagaimana menjaga diri Anda tetap aman.
Apa itu Stagefright 2.0?
Menurut Zimperium, sepasang kerentanan yang ditemukan baru-baru ini memungkinkan penyerang untuk menghadirkan ponsel atau tablet Android dengan file yang terlihat seperti MP3 atau MP4, jadi ketika metadata untuk file tersebut dipratinjau oleh OS yang dapat dieksekusi oleh file tersebut. kode berbahaya Jika terjadi serangan Man in the Middle atau situs web yang dibuat khusus untuk mengirimkan file-file cacat ini, kode ini dapat dijalankan tanpa diketahui pengguna.
Zimperium mengklaim telah mengkonfirmasi eksekusi jarak jauh, dan membawanya ke perhatian Google pada 15 Agustus. Sebagai tanggapan, Google menugaskan CVE-2015-3876 dan CVE-2015-6602 untuk pasangan masalah yang dilaporkan dan mulai memperbaiki.
Apakah ponsel atau tablet saya terpengaruh?
Dalam satu atau lain cara, ya. CVE-2015-6602 mengacu pada kerentanan dalam libutils, dan seperti yang ditunjukkan Zimperium dalam posting mereka yang mengumumkan penemuan kerentanan ini, hal itu berdampak pada setiap ponsel dan tablet Android yang kembali sejauh Android 1.0. CVE-2015-3876 memengaruhi setiap Android 5.0 dan ponsel atau tablet yang lebih tinggi, dan secara teoritis dapat disampaikan melalui situs web atau orang yang berada di tengah serangan.
NAMUN.
Saat ini tidak ada contoh publik dari kerentanan ini yang pernah digunakan untuk mengeksploitasi apa pun di luar kondisi lab, dan Zimperium tidak berencana untuk membagikan eksploitasi konsep-bukti yang mereka gunakan untuk menunjukkan masalah ini kepada Google. Meskipun mungkin orang lain dapat mengetahui eksploitasi ini sebelum Google mengeluarkan tambalan, dengan detail di balik eksploit ini masih dirahasiakan, itu tidak mungkin.
Apa yang Google lakukan tentang ini?
Menurut pernyataan dari Google, Pembaruan Keamanan Oktober menangani kedua kerentanan ini. Tambalan ini akan dibuat di AOSP dan akan diluncurkan untuk pengguna Nexus mulai 5 Oktober. Para pembaca yang bermata elang mungkin telah memperhatikan Nexus 5X dan Nexus 6P yang kami lihat baru-baru ini telah menginstal 5 Oktober, jadi jika Anda memesan di muka salah satu ponsel itu, perangkat keras Anda akan tiba ditambal terhadap kerentanan ini. Informasi tambahan pada tambalan akan berada di Android Security Google Group pada 5 Oktober.
Sedangkan untuk ponsel non-Nexus, Google menyediakan Pembaruan Keamanan Oktober untuk mitra pada 10 September, dan telah bekerja dengan OEM dan operator untuk mengirimkan pembaruan sesegera mungkin. Jika Anda melihat daftar perangkat yang ditambal dalam eksploitasi Stagefright terakhir, Anda memiliki gambaran yang masuk akal tentang perangkat keras apa yang dianggap sebagai prioritas dalam proses ini.
Bagaimana saya tetap aman sampai tambalan tiba untuk ponsel atau tablet saya?
Jika seseorang benar-benar berlarian dengan eksploitasi Stagefright 2.0 dan mencoba menginfeksi pengguna Android, yang sekali lagi sangat tidak mungkin karena kurangnya detail publik, kunci untuk tetap aman ada hubungannya dengan memperhatikan di mana Anda sedang menjelajah dan terhubung dengan Anda.
Hindari jaringan publik ketika Anda bisa, andalkan autentikasi dua faktor kapan pun memungkinkan, dan tetap sejauh mungkin dari situs web yang teduh. Sebagian besar, hal-hal web akal sehat untuk menjaga diri Anda aman.
Apakah ini akhir dari dunia?
Bahkan tidak sedikit. Sementara semua kerentanan Stagefright memang serius dan perlu diperlakukan seperti itu, komunikasi antara Zimperium dan Google untuk memastikan masalah ini ditangani secepat mungkin sangat fantastis. Zimperium telah secara tepat meminta perhatian pada masalah dengan Android, dan Google telah melangkah untuk memperbaikinya. Di dunia yang sempurna kerentanan ini tidak ada, tetapi kerentanan itu ada dan sedang ditangani dengan cepat. Tidak dapat meminta lebih dari itu, mengingat situasi kita sekarang.
