Android 'stagefright' exploit: to, čo potrebujete vedieť

V júli 2015 bezpečnostná spoločnosť Zimperium oznámila, že objavila „jednorožec“ zraniteľnosti vo vnútri operačného systému Android. Ďalšie podrobnosti boli zverejnené na konferencii BlackHat začiatkom augusta - ale nie pred titulkami, v ktorých sa uvádza, že takmer miliardu zariadení s Androidom by bolo možné prevziať bez toho, aby ich používatelia o tom vedeli.

Čo je to „Stagefright“? A musíte sa o to starať?

Tento príspevok neustále aktualizujeme, pretože sa zverejňujú ďalšie informácie. Tu je to, čo vieme a čo potrebujete vedieť.

Čo je Stagefright?

„Stagefright“ je prezývka pre potenciálne zneužitie, ktorá žije pomerne hlboko v samotnom operačnom systéme Android. Ide o to, že video odoslané prostredníctvom MMS (textová správa) by sa mohlo teoreticky použiť ako spôsob útoku prostredníctvom mechanizmu libStageFright (teda názov „Stagefright“), ktorý pomáha systému Android spracovávať video súbory. Mnoho aplikácií na odosielanie textových správ - konkrétne bola spomenutá aplikácia Hangouts od spoločnosti Google - automaticky spracúva toto video, aby bolo pripravené na pozeranie ihneď po otvorení správy, takže k útoku by teoreticky mohlo dôjsť bez toho, aby ste o tom vedeli.

Pretože libStageFright sa datuje do systému Android 2.2, obsahujú túto chybnú knižnicu stovky miliónov telefónov.

17. - 18. augusta: Využívanie zostáva?

Keď spoločnosť Google začala s aktualizáciou svojej línie Nexus, zverejnila firma Exodus blogový príspevok, ktorý tvrdil, že aspoň jedno zneužitie zostalo nepripravené, z čoho vyplýva, že spoločnosť Google tento kód prepadla. Publikácia vo Veľkej Británii Register, v neúplnom písaní, cituje inžiniera z Rapid7, podľa ktorého bude ďalšia oprava nasledovať v septembrovej aktualizácii zabezpečenia - súčasť nového mesačného bezpečnostného opravného procesu.

Spoločnosť Google ešte musí verejne riešiť tento posledný nárok.

Ak k tomu nie sú žiadne ďalšie podrobnosti, sme ochotní veriť, že v horšom prípade sme späť tam, kde sme začali - že v libStageFight sú nedostatky, ale že existujú ďalšie úrovne zabezpečenia, ktoré by mali zmierňovať možnosti zariadení. skutočne využívané.

Jeden 18. augusta. Trend Micro uverejnil príspevok blogu o inej chybe v libStageFright. Uviedla, že nemá žiadny dôkaz o tom, že by sa toto zneužitie skutočne používalo, a že spoločnosť Google zverejnila opravu projektu Open Source Project 1. augusta.

Nové podrobnosti Stagefright od 5. augusta

V spojení s konferenciou BlackHat v Las Vegas, na ktorej boli zverejnené ďalšie podrobnosti o zraniteľnosti systému Stagefright, Google riešil situáciu konkrétne. Vedúci inžinier pre zabezpečenie systému Android Adrian Ludwig povedal NPR, že „v súčasnosti má 90 percent zariadení s Androidom technológiu nazvaný povolený ASLR, ktorý chráni používateľov pred problémom. “

Je to veľmi v rozpore s riadkom „900 miliónov zariadení so systémom Android je zraniteľných“, ktoré sme všetci čítali. Aj keď sa nedostaneme uprostred vojny slov a pedantrie nad číslami, Ludwig hovoril, že zariadenia so systémom Android 4.0 alebo vyšším - to je asi 95 percent všetkých aktívnych zariadení so službami Google - majú ochranu pred zabudovaný útok na pretečenie vyrovnávacej pamäte.

ASLR (Ddress S pace L ayout R andomization) je metóda, ktorá zabraňuje útočníkovi spoľahlivo nájsť funkciu, ktorú chce vyskúšať a zneužiť náhodným usporiadaním pamäťových adresných priestorov procesu. ASLR je v predvolenom jadre systému Linux povolený od júna 2005 a bol pridaný do systému Android s verziou 4.0 (Ice Cream Sandwich).

Ako to vyzerá na bruchu?

Znamená to, že kľúčové oblasti spusteného programu alebo služby nie sú v RAM zakaždým umiestnené na rovnaké miesto. Náhodné vloženie vecí do pamäte znamená, že každý útočník musí uhádnuť, kde má hľadať údaje, ktoré chce využiť.

Toto nie je dokonalá oprava a aj keď je všeobecný ochranný mechanizmus dobrý, stále potrebujeme priame opravy proti známym zneužitiam, keď k nim dôjde. Spoločnosti Google, Samsung (1), (2) a Alcatel oznámili priamu opravu pre divadelníkov a Sony, HTC a LG tvrdia, že v auguste zverejnia aktualizácie.

Kto to zistil?

Využitie oznámila mobilná bezpečnostná spoločnosť Zimperium 21. júla ako súčasť oznámenia svojej výročnej strany na konferencii BlackHat. Áno, čítate to správne. Táto „Matka všetkých zraniteľností pre systém Android“, ako to hovorí Zimperium, bola vyhlásená 21. júla (týždeň pred tým, ako sa niekto rozhodne, že sa o ňu bude starať), a len pár slov, ešte väčšia bomba „Večer 6. augusta bude Zimperium rocková večierková scéna vo Vegas! “ A viete, že to bude stávka, pretože je to „naša každoročná večierok vo Vegas pre naše obľúbené ninjy“, kompletne s otráveným hashtagom a všetkým.

Aké rozšírené je toto zneužívanie?

Počet zariadení s chybou v samotnej knižnici libStageFright je opäť dosť veľký, pretože je v samotnom OS. Ako však spoločnosť Google viackrát poznamenala, existujú aj iné metódy, ktoré by mali chrániť vaše zariadenie. Ber to ako zabezpečenie vo vrstvách.

Takže by som sa mal starať o Stagefright alebo nie?

Dobrou správou je, že vedec, ktorý objavil túto chybu v Stagefright, „neverí, že ju zneužívajú hackeri vo voľnej prírode“. Takže je to veľmi zlá vec, ktorú zrejme nikto skutočne nepoužíva proti niekomu, aspoň podľa tejto jednej osoby. A opäť, Google hovorí, že ak používate Android 4.0 alebo novší, pravdepodobne budete v poriadku.

To neznamená, že to nie je zlé potenciálne využitie. To je. Ďalej poukazuje na ťažkosti so získavaním aktualizácií prostredníctvom ekosystému výrobcu a prepravcu. Na druhej strane je to potenciálna cesta k zneužitiu, ktorá zrejme existuje už od verzie Android 2.2 - alebo v podstate za posledných päť rokov. To vám z vás urobí časovanú bombu alebo benígnu cystu v závislosti od vášho uhla pohľadu.

Spoločnosť Google v júli zopakovala pre Android Central, že existuje viacero mechanizmov na ochranu používateľov.

Ďakujeme Joshua Drakeovi za jeho príspevky. Bezpečnosť používateľov systému Android je pre nás mimoriadne dôležitá, a preto sme rýchlo zareagovali a partnerom sme už poskytli opravy, ktoré sa dajú použiť na akékoľvek zariadenie.

Väčšina zariadení s Androidom vrátane všetkých novších zariadení má viacero technológií, ktoré sú navrhnuté tak, aby sťažili využívanie. Zariadenia s Androidom zahŕňajú aj karanténu aplikácií, ktorá slúži na ochranu údajov používateľa a ďalších aplikácií v zariadení.

A čo aktualizácie týkajúce sa opravy Stagefright?

Aby sme to skutočne opravili, potrebujeme aktualizácie systému. Vo svojej novej skupine „Android Security Group“ v bulletine 12. augusta spoločnosť Google vydala „bulletin zabezpečenia Nexus“, ktorý podrobne popisuje veci od jej konca. Existujú podrobnosti o viacerých CVE (bežné chyby zabezpečenia a vystavenia), vrátane informácií o tom, kedy boli partneri upovedomení (už 10. apríla pre jedného), ktoré vytvárajú opravy odporúčané pre Android (Android 5.1.1, zostavujú LMY48I) a akékoľvek ďalšie zmierňujúce faktory (vyššie uvedená schéma pamäte ASLR).

Google tiež uviedol, že aktualizoval svoje aplikácie Hangouts a Messenger tak, aby automaticky nespracovávali videozáznamy na pozadí „aby médiá neboli automaticky odovzdávané do procesu mediálneho servera“.

Zlou správou je, že väčšina ľudí musí čakať na výrobcov a operátorov, aby vytlačili aktualizácie systému. Ale opäť - zatiaľ čo tam hovoríme o 900 miliónoch zraniteľných telefónov, hovoríme tiež o žiadnych známych prípadoch vykorisťovania. To sú celkom dobré šance.

HTC uviedol, že aktualizácie odtiaľto budú obsahovať opravu. A CyanogenMod ich teraz tiež začleňuje.

Spoločnosť Motorola hovorí, že všetky jej telefóny súčasnej generácie - od Moto E po najnovšie Moto X (a všetko medzi tým) budú opravené. Tento kód bude pre operátorov od 10. augusta.

5. augusta spoločnosť Google vydala nové systémové obrazy pre Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 a Nexus 10. Google tiež oznámil, že vydá mesačné aktualizácie zabezpečenia pre linku Nexus pre linku Nexus. (Zdá sa, že už bola zverejnená aj druhá verejne publikovaná zostava M Preview.)

Aj keď Adrian Ludwig skôr na Google+ nezmenoval zneužívanie Stagefright podľa mena, už sa zaoberal zneužívaním a bezpečnosťou vo všeobecnosti, a znova nám pripomenul viac vrstiev, ktoré sa týkajú ochrany používateľov. On píše:

Existuje spoločný mylný predpoklad, že akákoľvek chyba softvéru sa môže zmeniť na bezpečnostné zneužitie. V skutočnosti väčšina chýb nie je zneužiteľná a existuje veľa vecí, ktoré urobil Android na zlepšenie týchto šancí. Posledné 4 roky sme vynaložili veľké investície do technológií zameraných na jeden typ chyby - chyby poškodenia pamäti - a snažili sa ich ťažšie zneužiť.