Andoid OS, beberapa waktu ini muncul berita lubang keamanan besar besaran telah menyebabkan ratusan juta smartphone Android OS rentan terkena serangan, tampaknya telah menyebabkan kewaspadaan keamanan diantara para pabrikan pembuat smartphone, seperti samsung, LG, Google, Motorola, Huawei, Amazon, Barnes and Noble, HTC, Kyocera dan Sony Corp.
Stagefright adalah layanan media player untuk Android, diperkenalkan di Android 2.2 (Froyo). Stagefright berisi beberapa kerentanan, termasuk beberapa overflows integer, yang dapat memungkinkan remote attacker untuk mengeksekusi kode pada perangkat.
Bug yang dinamai Stagefright digambarkan sebagai 'kerentanan Android terburuk dalam sejarah OS mobile' dan bisa menginfeksi ponsel yang hanya menerima pesan melalui layanan pesan multimedia ( MMS ) , bahkan jika itu tetap belum dibuka.
Menurut sebuah Zimperium zLabs posting blog , Bug Stagefright berisi tujuh kerentanan yang berbeda, termasuk beberapa overflows integer, yang memungkinkan penyerang remote untuk mengakses file atau mungkin mengeksekusi kode pada perangkat. Kerentanan ini muncul untuk mempengaruhi semua versi Android dari 2,2 (Froyo) dan setidaknya Android 5.1.1_r5 (Lollipop). zdnet melaporkan bahwa fitur yang membuat kerentanan lebih parah "tampaknya bahwa untuk mengurangi menonton video jeda waktu Stagefright otomatis memproses video bahkan sebelum Anda berpikir untuk membukanya. "
Seorang penyerang dengan nomor ponsel korban dapat mengirim pesan jahat crafted multimedia (MMS) yang dapat benar diurai oleh applikasi Stagefright. Vektor serangan lain dimungkinkan. Menurut patch (lihat menambal satu , dua , tiga), kerentanan tampak beberapa bilangan bulat overflows dan underflows, dan cek bulat melimpah yang tidak tepat.Sejak integer overflow adalah jenis kesalahan memori, Address Space Layout Randomization (ASLR) tampaknya sebagian mengurangi masalah ini, Forbes melaporkan bahwa Android 4.1 sebelum (Jelly Bean) memiliki "tidak memadai mengeksploitasi mitigasi . " ASLR diperkenalkan pada Android 4.0 dan diaktifkan secara penuh di Android 4.1. Menurut Ars Technica , "eksploitasi sukses setidaknya menyediakan akses langsung ke musik ponsel dan kamera feed dan untuk penyimpanan eksternal ... banyak ponsel yang lebih tua memberikan hak istimewa sistem tinggi kode Stagefright, desain yang dapat memungkinkan penyerang akses ke banyak sumber daya yang lebih perangkat. " Rincian lengkap saat ini tidak tersedia.
Daftar Vendor :
| Vendor | Status | Date Notified | Date Updated |
|---|---|---|---|
| Amazon | Affected | - | 28 Jul 2015 |
| Barnes and Noble | Affected | - | 28 Jul 2015 |
| Affected | - | 28 Jul 2015 | |
| HTC | Affected | - | 28 Jul 2015 |
| Huawei Technologies | Affected | - | 28 Jul 2015 |
| Kyocera Communications | Affected | - | 28 Jul 2015 |
| LG Electronics | Affected | - | 28 Jul 2015 |
| Motorola, Inc. | Affected | - | 28 Jul 2015 |
| Samsung Mobile | Affected | - | 28 Jul 2015 |
| Sony Corporation | Affected | - | 28 Jul 2015 |
Stagefright in action :
