Wykorzystanie „stagefright” Androida: co musisz wiedzieć

W lipcu 2015 r. Firma ochroniarska Zimperium ogłosiła, że ​​odkryła „jednorożca” luki w zabezpieczeniach systemu operacyjnego Android. Więcej szczegółów ujawniono publicznie na konferencji BlackHat na początku sierpnia - ale nie wcześniej niż w nagłówkach, w których ogłoszono, że prawie miliard urządzeń z Androidem można potencjalnie przejąć bez wiedzy użytkowników.

Czym jest „Stagefright”? I czy musisz się tym martwić?

Stale aktualizujemy ten post, gdy udostępniane są dodatkowe informacje. Oto, co wiemy i co musisz wiedzieć.

Co to jest Stagefright?

„Stagefright” to pseudonim nadany potencjalnemu exploitowi, który żyje dość głęboko w samym systemie operacyjnym Android. Istotą jest to, że wideo wysyłane za pośrednictwem MMS-a (SMS-a) może być teoretycznie wykorzystane jako droga do ataku za pośrednictwem mechanizmu libStageFright (stąd nazwa „Stagefright”), która pomaga Androidowi przetwarzać pliki wideo. Wiele aplikacji do wysyłania wiadomości tekstowych - specjalnie wspomniana aplikacja Google Hangouts - automatycznie przetwarza ten film, dzięki czemu jest gotowy do oglądania, jak tylko otworzysz wiadomość, i teoretycznie atak może się zdarzyć nawet bez Twojej wiedzy.

Ponieważ libStageFright pochodzi z systemu Android 2.2, setki milionów telefonów zawierają tę wadliwą bibliotekę.

17-18 sierpnia: Pozostały exploity?

Gdy Google zaczęło wprowadzać aktualizacje swojej linii Nexus, firma Exodus opublikowała post na blogu, w którym mówi ostro, że co najmniej jeden exploit pozostał niezałatany, co sugeruje, że Google popełnił błąd. Brytyjska publikacja The Register, we wspaniale napisanym fragmencie, cytuje inżyniera z Rapid7, mówiąc, że kolejna poprawka pojawi się we wrześniowej aktualizacji zabezpieczeń - w ramach nowego comiesięcznego procesu łatania zabezpieczeń.

Google ze swojej strony musi jeszcze publicznie zająć się tym ostatnim roszczeniem.

Wobec braku dalszych szczegółów na ten temat, jesteśmy skłonni wierzyć, że w gorszym momencie jesteśmy z powrotem na początku - że istnieją błędy w libStageFight, ale istnieją też inne warstwy bezpieczeństwa, które powinny ograniczać możliwość urządzeń faktycznie wykorzystywane.

18 sierpnia. Trend Micro opublikował post na blogu o innej usterce w libStageFright. Powiedział, że nie ma dowodów na faktyczne wykorzystanie tego exploita, a Google opublikowało łatkę do Android Open Source Project 1 sierpnia.

Nowe szczegóły Stagefright z 5 sierpnia

W związku z konferencją BlackHat w Las Vegas - na której publicznie ujawniono więcej szczegółów na temat luki Stagefright - Google zajął się konkretną sytuacją, a główny inżynier ds. Bezpieczeństwa Androida Adrian Ludwig powiedział NPR, że „obecnie 90 procent urządzeń z Androidem ma technologię o nazwie włączony ASLR, który chroni użytkowników przed problemem. ”

Jest to bardzo sprzeczne z wersją „900 milionów urządzeń z Androidem jest podatnych”, którą wszyscy przeczytaliśmy. Chociaż nie zamierzamy wdawać się w wojnę słów i pedanterię liczb, Ludwig mówił, że urządzenia z Androidem 4.0 lub nowszym - to około 95 procent wszystkich aktywnych urządzeń z usługami Google - mają ochronę przed wbudowany atak przepełnienia bufora.

ASLR (A dress S pace L ayout R andomization) to metoda, która uniemożliwia atakującemu niezawodnie znalezienie funkcji, którą chce on wykorzystać, poprzez losowe rozmieszczenie przestrzeni adresowej pamięci procesu. ASLR jest włączony w domyślnym jądrze Linuksa od czerwca 2005 roku i został dodany do Androida z wersją 4.0 (Ice Cream Sandwich).

Jak to na łyk?

Oznacza to, że kluczowe obszary uruchomionego programu lub usługi nie są umieszczane w tym samym miejscu w pamięci RAM za każdym razem. Losowe zapisywanie rzeczy w pamięci oznacza, że ​​każdy atakujący musi zgadnąć, gdzie szukać danych, które chce wykorzystać.

Nie jest to idealna poprawka i chociaż ogólny mechanizm ochrony jest dobry, wciąż potrzebujemy bezpośrednich łatek przeciwko znanym exploitom, gdy się pojawią. Google, Samsung (1), (2) i Alcatel ogłosiły bezpośrednią łatkę dla stagefright, a Sony, HTC i LG zapowiadają, że udostępnią łatki aktualizacyjne w sierpniu.

Kto znalazł ten exploit?

Exploit został ogłoszony 21 lipca przez firmę ochroniarską Zimperium w ramach ogłoszenia o corocznej imprezie na konferencji BlackHat. Tak, dobrze to przeczytałeś. Ta „Matka wszystkich luk w zabezpieczeniach Androida”, jak to ujął Zimperium, została ogłoszona 21 lipca (tydzień przed tym, jak ktoś najwyraźniej postanowił się tym przejmować), a zaledwie kilka słów jeszcze większa bomba „Wieczorem 6 sierpnia Zimperium będzie wstrząsnąć sceną imprezową w Vegas! ” I wiesz, że to będzie szaleństwo, ponieważ to „nasza coroczna impreza w Vegas dla naszych ulubionych ninja”, całkowicie z niesamowitym hashtagiem i wszystkim innym.

Jak rozpowszechniony jest ten exploit?

Ponownie liczba urządzeń z wadą w samej bibliotece libStageFright jest dość duża, ponieważ znajduje się w samym systemie operacyjnym. Ale jak zauważyło to wielokrotnie Google, istnieją inne metody, które powinny chronić twoje urządzenie. Pomyśl o tym jak o bezpieczeństwie warstw.

Więc powinienem się martwić o Stagefright czy nie?

Dobrą wiadomością jest to, że badacz, który odkrył tę lukę w Stagefright, „nie wierzy, że hakerzy na wolności ją wykorzystują”. Jest to więc bardzo zła rzecz, której najwyraźniej nikt nie używa przeciwko nikomu, przynajmniej według tej jednej osoby. I znowu Google mówi, że jeśli używasz Androida 4.0 lub nowszego, prawdopodobnie wszystko będzie dobrze.

To nie znaczy, że nie jest to zły potencjalny exploit. To jest. Uwydatnia to ponadto trudności z rozpowszechnianiem aktualizacji przez ekosystem producenta i przewoźnika. Z drugiej strony jest to potencjalna droga do wykorzystania, która najwyraźniej istnieje od Androida 2.2 - lub w zasadzie przez ostatnie pięć lat. To albo czyni z ciebie tykającą bombę zegarową, albo łagodną torbiel, w zależności od twojego punktu widzenia.

Ze swojej strony Google w lipcu powtórzył w Android Central, że istnieje wiele mechanizmów ochrony użytkowników.

Dziękujemy Joshua Drake'owi za jego wkład. Bezpieczeństwo użytkowników Androida jest dla nas niezwykle ważne, dlatego zareagowaliśmy szybko, a partnerzy otrzymali już łatki, które można zastosować na dowolnym urządzeniu.

Większość urządzeń z Androidem, w tym wszystkie nowsze, ma wiele technologii, które mają na celu utrudnienie eksploatacji. Urządzenia z Androidem zawierają również piaskownicę aplikacji zaprojektowaną do ochrony danych użytkownika i innych aplikacji na urządzeniu.

Co z aktualizacjami, aby naprawić Stagefright?

Będziemy potrzebować aktualizacji systemu, aby naprawdę to załatać. W swojej nowej „Grupie zabezpieczeń Android” w biuletynie z 12 sierpnia Google wydało „Biuletyn bezpieczeństwa Nexusa”, w którym szczegółowo opisano sprawy od końca. Istnieją szczegółowe informacje na temat wielu luk CVE (typowe luki w zabezpieczeniach i narażenia), w tym powiadomień partnerów (już 10 kwietnia, na przykład), które wersje Androida zawierają poprawki (Android 5.1.1, kompilacja LMY48I) oraz wszelkie inne czynniki ograniczające zagrożenie (wspomniany schemat pamięci ASLR).

Google powiedział również, że zaktualizował aplikacje Hangouts i Messenger, aby nie przetwarzały automatycznie wiadomości wideo w tle „tak, aby media nie były automatycznie przekazywane do procesu serwera multimediów”.

Zła wiadomość jest taka, że ​​większość ludzi musi czekać na producentów i przewoźników, aby wypchnęli aktualizacje systemu. Ale znowu - gdy mówimy o 900 milionach zagrożonych telefonów, mówimy również o zerowych znanych przypadkach wykorzystania. To całkiem niezłe szanse.

HTC powiedział, że odtąd aktualizacje będą zawierać poprawkę. CyanogenMod również je teraz włącza.

Motorola twierdzi, że wszystkie jej telefony obecnej generacji - od Moto E do najnowszej Moto X (i wszystkiego pomiędzy) zostaną załatane, których kod trafi do przewoźników od 10 sierpnia.

5 sierpnia Google opublikowało nowe obrazy systemowe Nexusa 4, Nexusa 5, Nexusa 6, Nexusa 7, Nexusa 9 i Nexusa 10. Google ogłosił również, że wyda comiesięczne aktualizacje bezpieczeństwa dla linii Nexus dla linii Nexus. (Wydaje się, że druga publicznie wydana kompilacja podglądu M została już załatana.)

I chociaż nie nazwał exploita Stagefright po imieniu, Adrian Ludwig z Google wcześniej w Google+ zajął się już exploitami i bezpieczeństwem w ogóle, ponownie przypominając nam o wielu warstwach chroniących użytkowników. On pisze:

Istnieje powszechne, błędne założenie, że każdy błąd oprogramowania można przekształcić w exploit bezpieczeństwa. W rzeczywistości większość błędów nie nadaje się do wykorzystania, a Android zrobił wiele, aby poprawić te szanse. Przez ostatnie 4 lata inwestowaliśmy dużo w technologie skoncentrowane na jednym typie błędu - usterki związane z uszkodzeniem pamięci - i staraliśmy się utrudnić wykorzystanie tych błędów.