Биткоин-кошелькам на Android угрожает уязвимость Stagefright 2.0

Одно из проклятий, одолевающих многострадальных пользователей Андроида в настоящее время – это новая версия бага Stagefright («боязнь сцены»). Она использует уязвимости файлов формата mp3 и mp4, которые, как известно, являются наиболее популярными форматами медиа-файлов. Заразившись новой итерацией «боязни сцены», устройство становится уязвимым для атак. Можно найти огромное количество применений для внедрения стороннего кода – среди них кража юзернеймов и паролей, данных биткоин-кошельков, и даже доступ к фото и сообщениям.

Но, что ещё хуже, простой пользователь практически не может определить, заражено ли устройство; заразиться можно, вовсе этого не заметив, так как вредоносные медиа-файлы ведут себя нормальным образом. Удалённое исполнение кода запускается при открытии такого файла – это раскрывает ворота перед хакерами, которые смогут распоряжаться устройством жертвы, как своим собственным. Невозможно предугадать, какой именно код будет исполняться через «боязнь сцены», но возможные последствия могут быть ужасающими. Установка вируса в этом случае покажется детской забавой – ведь итогом взлома может стать долгосрочная потеря приватности и кража самых чувствительных данных.

Более того, новая версия «боязни» возвращает в группу риска тех пользователей, чьи устройства были пропатчены против её первой итерации. Вторая уязвимость касается Android версии 5.0, как и всех версий начиная с 1.0. Google назвали Stagefright 2.0 «критической уязвимостью» и в данный момент в корпорации уже разрабатывается патч.

Поскольку потенциальный эффект от «боязни сцены» остаётся неясным, для биткоин-пользователей самым разумным будет оставаться настороже, так как они могут также пасть жертвами удалённых кодов. Существует не один десяток биткоин-кошельков под Андроид, и теоретически баг делает возможным кражу средств с таких кошельков, причём сам пользователь и не заметит, как деньги уводят у него практически на глазах.

Большинство мобильных биткоин-кошельков хранят необходимые данные восстановления и приватные ключи на самом устройстве, однако «боязнь сцены» делает это казалось бы надёжное решение серьёзным риском для безопасности, хотя сами разработчики кошельков в этом никоим образом и не виноваты.