Android 'Stagefright' Exploit: Was Sie wissen müssen

Im Juli 2015 gab das Sicherheitsunternehmen Zimperium bekannt, dass es ein "Einhorn" einer Sicherheitslücke im Android-Betriebssystem entdeckt hat. Weitere Details wurden auf der BlackHat-Konferenz Anfang August öffentlich bekannt gegeben - jedoch nicht vor den Schlagzeilen Erklären, dass fast eine Milliarde Android-Geräte möglicherweise ohne ihre Benutzer übernommen werden könnten es zu wissen.

Was ist "Stagefright"? Und müssen Sie sich darüber Sorgen machen?

Wir aktualisieren diesen Beitrag ständig, sobald weitere Informationen veröffentlicht werden. Folgendes wissen wir und was Sie wissen müssen.

Was ist Lampenfieber?

"Stagefright" ist der Spitzname für einen potenziellen Exploit, der ziemlich tief im Android-Betriebssystem selbst lebt. Das Wesentliche ist, dass ein per MMS (Textnachricht) gesendetes Video theoretisch als Angriffsmöglichkeit über das Internet verwendet werden kann libStageFright Mechanismus (daher der Name "Stagefright"), mit dem Android Videodateien verarbeiten kann. Viele SMS-Apps - die Hangouts-App von Google wurde speziell erwähnt - verarbeiten dieses Video automatisch so, wie es ist Sobald Sie die Nachricht öffnen, kann sie angezeigt werden, sodass der Angriff theoretisch ohne Ihr Wissen erfolgen kann es.

weil libStageFright stammt aus Android 2.2, Hunderte Millionen Handys enthalten diese fehlerhafte Bibliothek.

Aug. 17-18: Exploits bleiben?

Gerade als Google damit begann, Updates für seine Nexus-Linie, die Exodus-Firma, herauszubringen hat einen Blogbeitrag veröffentlicht Snarkily sagte, dass mindestens ein Exploit ungepatcht blieb, was bedeutet, dass Google den Code vermasselt hat. UK Veröffentlichung Das Register, in einem flockig geschriebenes Stück, zitiert einen Ingenieur von Rapid7, dass das nächste Update im September im Sicherheitsupdate erscheinen wird - Teil des neuen monatlichen Sicherheitspatching-Prozesses.

Google seinerseits hat diese neueste Behauptung noch nicht öffentlich angesprochen.

Da für diesen Fall keine weiteren Details vorliegen, neigen wir dazu zu glauben, dass wir im schlimmsten Fall wieder dort sind, wo wir angefangen haben - dass es solche gibt Fehler in libStageFight, aber dass es andere Sicherheitsebenen gibt, die die Möglichkeit verringern sollten, dass Geräte tatsächlich vorhanden sind ausgenutzt.

Ein Aug. 18. Trend Micro hat einen Blogbeitrag veröffentlicht auf einen anderen Fehler in libStageFright. Es gab keine Hinweise darauf, dass dieser Exploit tatsächlich verwendet wird, und dass Google veröffentlichte den Patch für das Android Open Source Project im August. 1.

Neue Stagefright-Details ab August 5

In Verbindung mit der BlackHat-Konferenz in Las Vegas - bei der weitere Details zur Stagefright-Sicherheitslücke bekannt wurden öffentlich bekannt gegeben - Google ging mit dem leitenden Ingenieur für Android-Sicherheit Adrian Ludwig speziell auf die Situation ein erzählen NPR "Derzeit verfügen 90 Prozent der Android-Geräte über eine Technologie namens ASLR, die Benutzer vor dem Problem schützt."

Dies steht im Widerspruch zu der Zeile "900 Millionen Android-Geräte sind anfällig", die wir alle gelesen haben. Während wir nicht in einen Krieg der Worte und der Pedanterie um die Zahlen geraten werden, sagte Ludwig, dass Geräte mit Android 4.0 oder höher - Das sind ungefähr 95 Prozent aller aktiven Geräte mit Google-Diensten - Schutz vor einem integrierten Pufferüberlaufangriff.

ASLR (EINKleid S.Tempo L.ayout R.andomization) ist eine Methode, die einen Angreifer davon abhält, die Funktion, die er oder sie durch zufällige Anordnung von Speicheradressräumen eines Prozesses ausnutzen möchte, zuverlässig zu finden. ASLR ist seit Juni 2005 im Standard-Linux-Kernel aktiviert und wurde mit Version 4.0 zu Android hinzugefügt (Eiscreme-Sandwich).

Wie ist das für einen Schluck?

Dies bedeutet, dass die Schlüsselbereiche eines laufenden Programms oder Dienstes nicht jedes Mal an derselben Stelle im RAM abgelegt werden. Das zufällige Speichern von Dingen bedeutet, dass jeder Angreifer raten muss, wo er nach den Daten suchen muss, die er ausnutzen möchte.

Dies ist keine perfekte Lösung, und obwohl ein allgemeiner Schutzmechanismus gut ist, benötigen wir immer noch direkte Patches gegen bekannte Exploits, wenn sie auftreten. Google, Samsung (1), (2) und Alcatel haben einen direkten Patch für Stagefright angekündigt. Sony, HTC und LG geben bekannt, dass sie im August Update-Patches veröffentlichen werden.

Wer hat diesen Exploit gefunden?

Der Exploit wurde am 21. Juli von der mobilen Sicherheitsfirma Zimperium im Rahmen einer Ankündigung für ihre jährliche Party auf der BlackHat-Konferenz angekündigt. Ja, das hast du richtig gelesen. Diese "Mutter aller Android-Schwachstellen", wie Zimperium es ausdrückt, war angekündigt 21. Juli (eine Woche bevor sich irgendjemand entschieden hat, sich anscheinend darum zu kümmern) und nur ein paar Worte die noch größere Bombe von "Am Abend des 6. August wird Zimperium das rocken." Vegas-Partyszene! "Und Sie wissen, dass es eine Wut wird, denn es ist" unsere jährliche Vegas-Party für unsere Lieblings-Ninjas ", komplett mit einem rockigen Hashtag und alles.

Wie verbreitet ist dieser Exploit?

Auch hier ist die Anzahl der Geräte mit dem Fehler in der libStageFright Die Bibliothek selbst ist ziemlich groß, weil sie sich im Betriebssystem selbst befindet. Wie Google jedoch mehrfach festgestellt hat, gibt es andere Methoden, die Ihr Gerät schützen sollen. Betrachten Sie es als Sicherheit in Schichten.

Soll ich mir also Sorgen um Stagefright machen oder nicht?

Die gute Nachricht ist, dass der Forscher, der diesen Fehler in Stagefright entdeckt hat, "nicht glaubt, dass es Hacker in freier Wildbahn sind." es auszunutzen. "Es ist also eine sehr schlechte Sache, die anscheinend niemand tatsächlich gegen irgendjemanden einsetzt, zumindest nicht nach diesem Person. Und wieder sagt Google, wenn Sie Android 4.0 oder höher verwenden, werden Sie wahrscheinlich in Ordnung sein.

Das bedeutet nicht, dass es kein schlechter potenzieller Exploit ist. Es ist. Darüber hinaus werden die Schwierigkeiten hervorgehoben, Aktualisierungen über das Hersteller- und Carrier-Ökosystem zu verbreiten. Auf der anderen Seite ist dies eine potenzielle Möglichkeit für Exploits, die es anscheinend seit Android 2.2 gibt - oder im Grunde genommen in den letzten fünf Jahren. Das macht Sie entweder zu einer tickenden Zeitbombe oder zu einer gutartigen Zyste, je nach Ihrer Sichtweise.

Und Google seinerseits wiederholte dies im Juli Android Central dass es mehrere Mechanismen zum Schutz der Benutzer gibt.

Wir danken Joshua Drake für seine Beiträge. Die Sicherheit von Android-Nutzern ist für uns äußerst wichtig. Daher haben wir schnell reagiert und Partnern wurden bereits Patches zur Verfügung gestellt, die auf jedes Gerät angewendet werden können.

Die meisten Android-Geräte, einschließlich aller neueren Geräte, verfügen über mehrere Technologien, die die Ausnutzung erschweren sollen. Android-Geräte enthalten auch eine Anwendungssandbox zum Schutz von Benutzerdaten und anderen Anwendungen auf dem Gerät.

Was ist mit Updates, um Stagefright zu reparieren?

Wir werden Systemupdates benötigen, um dies wirklich zu patchen. In seiner neuen "Android-Sicherheitsgruppe" in einem Aug. 12 Bulletin, Google gab ein "Nexus Security Bulletin" heraus Detaillierung der Dinge von seinem Ende. Es gibt Details zu mehreren CVEs (Common Vulnerabilities and Exposures), einschließlich des Zeitpunkts, zu dem die Partner benachrichtigt wurden (bereits am 10. April, z one), welche Builds von Android Fixes (Android 5.1.1, Build LMY48I) und andere mildernde Faktoren (der oben erwähnte ASLR-Speicher) enthielten planen).

Google sagte auch, dass es seine Hangouts- und Messenger-Apps aktualisiert hat, damit sie nicht automatisch ausgeführt werden Videonachrichten im Hintergrund verarbeiten ", damit Medien nicht automatisch an den Medienserver übergeben werden Prozess."

Die schlechte Nachricht ist, dass die meisten Leute auf die Hersteller und Netzbetreiber warten müssen, um Systemaktualisierungen zu veröffentlichen. Aber auch hier - während wir über 900 Millionen anfällige Telefone sprechen, sprechen wir auch Null bekannte Fälle von Ausbeutung. Das sind ziemlich gute Chancen.

HTC hat angekündigt, dass Updates von hier an das Update enthalten werden. Und CyanogenMod nimmt sie jetzt auch auf.

Motorola sagt alle seine Handys der aktuellen Generation - vom Moto E bis zum neuesten Moto X (und alles dazwischen) wird gepatcht, welcher Code ab dem 10. August an die Spediteure geht.

Am Aug. 5, Google veröffentlichte neue System-Images für das Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 und Nexus 10. Google hat außerdem angekündigt, dass es veröffentlicht wird monatliche Sicherheitsupdates für die Nexus-Linie für die Nexus-Linie. (Die zweite öffentlich veröffentlicht M Vorschau Build scheint ebenfalls bereits gepatcht zu sein.)

Und obwohl er den Stagefright-Exploit nicht namentlich genannt hat, hat Google Adrian Ludwig Zuvor hatte Google+ bereits Exploits und Sicherheit im Allgemeinen angesprochenDies erinnert uns erneut an die zahlreichen Ebenen, mit denen Benutzer geschützt werden. Er schreibt:

Es gibt eine verbreitete, falsche Annahme, dass jeder Softwarefehler in einen Sicherheits-Exploit umgewandelt werden kann. Tatsächlich sind die meisten Fehler nicht ausnutzbar und es gibt viele Dinge, die Android getan hat, um diese Chancen zu verbessern. Wir haben in den letzten 4 Jahren stark in Technologien investiert, die sich auf eine Art von Fehler konzentrieren - Speicherbeschädigungsfehler - und versucht, diese Fehler schwieriger auszunutzen.

Weitere Informationen dazu finden Sie in unserer Fragen und Antworten zur Sicherheit mit Ludwig von Google.

Stagefight-Detektor-Apps

Wir sehen keinen Sinn darin, eine "Detektor" -App zu verwenden, um festzustellen, ob Ihr Telefon für den Stagefright-Exploit anfällig ist. Aber wenn Sie müssen, gibt es einige zur Verfügung.

• Lookout Mobiler Stagefright-Detektor
• Zimperium Stagefright Detektor