Androidov "stagefright" iskorištavanje: ono što morate znati

U srpnju 2015. zaštitarska tvrtka Zimperium objavila je da je otkrila "jednorog" ranjivosti unutar Android operativnog sustava. Više detalja javno je objavljeno na BlackHat konferenciji početkom kolovoza - ali ne prije nego što su naslovi objavili da je gotovo milijardu Android uređaja potencijalno moguće preuzeti bez da njihovi korisnici to uopće znaju.

Pa što je "Stagefright"? I treba li se brinuti zbog toga?

Neprekidno ažuriramo ovaj post kako objavljujemo više informacija. Evo što znamo i što trebate znati.

Što je Stagefright?

"Stagefright" je nadimak dat potencijalnom eksploataciji koja živi prilično duboko u samom Android operativnom sustavu. Suština je u tome što bi videozapis poslan putem MMS-a (tekstualna poruka) teoretski mogao biti sredstvo napada putem mehanizma libStageFright (dakle „Stagefright“), koji pomaže Androidu da obrađuje video datoteke. Mnoge aplikacije za razmjenu tekstualnih poruka - posebno je spomenuta Google-ova aplikacija Hangouts - automatski obrađuju taj videozapis tako da je spreman za gledanje čim otvorite poruku i tako se napad teoretski može dogoditi a da to niste ni svjesni.

Budući da libStageFright datira iz Androida 2.2, stotine milijuna telefona sadrže ovu pogrešnu biblioteku.

17.-18. Kolovoza: Podvizi ostaju?

Tek što je Google počeo uvoditi ažuriranja za svoju Nexus liniju, tako je i tvrtka Exodus snažno objavila blog da je barem jedan eksploatacija ostala netaknuta, nagovještavajući da se Google zeznuo s kodom. Publikacija u Velikoj Britaniji Registar, u čudu napisanom djelu, citira inženjera iz tvrtke Rapid7 kako kaže kako će se sljedeće popravljanje pojaviti u sigurnosnom ažuriranju u rujnu - dio novog mjesečnog postupka sigurnosnog zakrpa.

Google se sa svoje strane još nije javno pozabavio ovim najnovijim zahtjevom.

U nedostatku dodatnih detalja o ovom, skloni smo vjerovati da smo u lošem slučaju tamo gdje smo i započeli - da postoje nedostaci u libStageFightu, ali i da postoje drugi slojevi sigurnosti koji bi trebali umanjiti mogućnost uređaja zapravo se iskorištava.

Jednog 18. kolovoza. Trend Micro objavio je blog na blogu o još jednom nedostatku u libStageFright. U njemu je rečeno da nema dokaza da se ovaj eksploziv zapravo koristi, te da je Google 1. avgusta objavio zakrpu za Android Open Source Project.

Novi detalji Stagefright od 5. kolovoza

U suradnji s BlackHat konferencijom u Las Vegasu - na kojoj je više detalja o ranjivosti Stagefright-a javno objavljeno - Google se posebno pozabavio situacijom, a vodeći inženjer za Android sigurnost Adrian Ludwig rekao je NPR-u da "trenutno 90 posto Android uređaja ima tehnologiju pod nazivom ASLR omogućen, što štiti korisnike od problema."

To se vrlo malo slaže s linijom "900 milijuna Android uređaja su ranjivi" koju smo svi pročitali. Dok se nećemo snalaziti u ratu riječi i pedantnosti zbog brojeva, Ludwig je govorio da uređaji s Androidom 4.0 ili novijim - to je oko 95 posto svih aktivnih uređaja s Googleovim uslugama - imaju zaštitu protiv ugrađen napad prelivanja međuspremnika.

ASLR (ddress S pace L ayout R andomization) je metoda koja sprečava napadača da pouzdano pronađe funkciju koju želi pokušati i iskoristiti nasumičnim rasporedom memorijskih adresnih prostora procesa. ASLR je u zadanom Linux Kernelu omogućen od lipnja 2005., a Androidu je dodan verzija Verzija 4.0 (Ice Cream Sandwich).

Kako to za zalogaj?

To znači da ključna područja programa ili usluge koja se izvodi ne postavljaju svaki put na isto mjesto u RAM-u. Nasumično postavljanje stvari u memoriju znači da svaki napadač mora pogoditi gdje treba tražiti podatke koje želi iskoristiti.

Ovo nije savršeni popravak, a iako je opći mehanizam zaštite dobar, još uvijek trebamo izravne zakrpe protiv poznatih eksplozija kada se pojave. Google, Samsung (1), (2) i Alcatel najavili su izravnu zakrpu za stagefright, a Sony, HTC i LG kažu da će objaviti zakrpe za ažuriranje u kolovozu.

Tko je našao ovaj podvig?

Iskorištavanje je 21. srpnja objavila mobilna zaštitna tvrtka Zimperium u sklopu najave za svoju godišnju zabavu na konferenciji BlackHat. Da, dobro ste pročitali. Ova "Majka svih ranjivosti Androida", kako to tvrdi Zimperium, objavljena je 21. srpnja (tjedan dana prije nego što se itko odlučio pobrinuti), a samo nekoliko riječi još veća bomba od "Zimperium će navečer 6. kolovoza rock scenu u Vegasu! " A znate da će biti rager jer je to "naša godišnja zabava u Vegasu za naše omiljene nindže", potpuno s rockin 'hashtagom i svačim.

Koliko je raširena ova eksploatacija?

Opet, broj uređaja s nedostatkom u samoj biblioteci libStageFright prilično je velik, jer se nalazi u samom OS-u. No, kao što je Google već više puta napomenuo, postoje druge metode koje bi trebale zaštititi vaš uređaj. Zamislite to kao sigurnost u slojevima.

Dakle, trebam li brinuti o Stagefrightu ili ne?

Dobra vijest je da istraživač koji je otkrio ovu manu u Stagefrightu "ne vjeruje da je hakeri u divljini iskorištavaju". Dakle, vrlo je loše što očigledno nitko ne koristi protiv nikoga, barem prema ovoj jednoj osobi. I opet, Google kaže da ako koristite Android 4.0 ili noviju verziju, vjerojatno ćete biti u redu.

To ne znači da nije loš potencijalni podvig. To je. Nadalje, naglašava poteškoće u dobivanju ažuriranja koje se provlače kroz ekosustav proizvođača i prijevoznika. S druge strane, to je potencijalni put za eksploataciju koji, očito, postoji još od Androida 2.2 - ili u osnovi posljednjih pet godina. To vas ili čini otkucavajućom bombom ili benignom cistom, ovisno o vašem gledištu.

I sa svoje strane, Google je u srpnju ponovio za Android Central da postoje brojni mehanizmi za zaštitu korisnika.

Zahvaljujemo Joshua Drakeu na njegovom doprinosu. Sigurnost korisnika Androida za nas je izuzetno važna pa smo brzo reagirali i zakrpe su već osigurane partnerima koje je moguće primijeniti na bilo koji uređaj.

Većina Android uređaja, uključujući sve novije uređaje, ima više tehnologija koje su dizajnirane da otežaju eksploataciju. Android uređaji uključuju i program s vrećicom softvera dizajniran za zaštitu korisničkih podataka i drugih aplikacija na uređaju.

Što je s ažuriranjima koja popravljaju Stagefright?

Trebat će nam ažuriranja sustava da bismo ovo zaista zakrpili. U svom novom "Android Security Group" u biltenu od 12. kolovoza, Google je izdao "Nexus bilten o sigurnosti" u kojem je detaljno opisao stvari sa svoga kraja. Postoje detalji o više CVE-ova (uobičajene ranjivosti i izloženosti), uključujući i kada su partneri obaviješteni (već 10. travnja, za jedan), koji grade ispravke sa sustavom Android (Android 5.1.1, gradnja LMY48I) i sve ostale olakšavajuće faktore (gore spomenuta shema memorije ASLR).

Google je također rekao da je ažurirao svoje aplikacije Hangouts i Messenger tako da one ne obrađuju automatski video poruke u pozadini "kako se mediji ne bi automatski proslijedili u proces posluživanja medija".

Loša vijest je da većina ljudi to mora čekati na proizvođače i prijevoznike da izguraju ažuriranja sustava. Ali opet - dok govorimo o nečemu poput 900 milijuna ranjivih telefona, također govorimo o nula poznatih slučajeva eksploatacije. To su prilično dobri izgledi.

HTC je rekao da će ažuriranja od ovdje do sad sadržavati ispravku. I CyanogenMod sada ih uključuje.

Motorola kaže kako će biti zakrpljeni svi modeli njezine trenutne generacije - od Moto E do najnovijeg Moto X-a (i svega što je između njih), a taj će kod kod prijevoznika biti počeo 10. kolovoza.

Google je 5. kolovoza objavio nove slike sustava za Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 i Nexus 10. Google je također objavio da će objavljivati ​​mjesečne sigurnosne nadopune za Nexus liniju za Nexus liniju. (Čini se da je druga javno objavljena verzija Preview M već zakrpljena.)

I dok nije iskoristio Stagefright eksploataciju imenom, Googleov Adrian Ludwig ranije na Google+ već se obratio eksploatacijama i sigurnosti uopšte, podsjetivši nas na više slojeva koji štite korisnike. Piše:

Česta je, pogrešna pretpostavka da se bilo kakav softverski program može pretvoriti u sigurnosni podvig. Zapravo, većina grešaka nije iskoristiva i Android je učinio mnogo toga da poboljša te izglede. Posljednje 4 godine puno smo ulagali u tehnologije fokusirane na jednu vrstu grešaka - greške u pokvari memorije - i pokušavamo otežati iskorištavanje tih buba.