Експлоатация на Android „Stagefright“: Какво трябва да знаете

През юли 2015 г. компанията за сигурност Zimperium обяви, че е открила „еднорог“ на уязвимост в операционната система Android. Повече подробности бяха публично разкрити на конференцията BlackHat в началото на август - но не преди заглавия декларирайки, че близо милиард устройства с Android може потенциално да бъдат превзети без дори техните потребители знаейки го.

И така, какво е "Stagefright"? И трябва ли да се притеснявате за това?

Непрекъснато актуализираме тази публикация, когато се публикува повече информация. Ето какво знаем и какво трябва да знаете.

Какво е Stagefright?

„Stagefright“ е прякорът, даден на потенциален експлойт, който живее доста дълбоко в самата операционна система Android. Същността е, че видео, изпратено чрез MMS (текстово съобщение), може теоретично да се използва като начин за атака през libStageFright механизъм (по този начин името "Stagefright"), който помага на Android да обработва видео файлове. Много приложения за текстови съобщения - приложението Hangouts на Google беше специално споменато - обработват автоматично това видео, така че е готов за гледане веднага щом отворите съобщението и така теоретично атаката може да се случи, без дори да знаете то.

Защото libStageFright датира от Android 2.2, стотици милиони телефони съдържат тази недостатъчна библиотека.

Август 17-18: Експлоатите остават?

Точно когато Google започна да пуска актуализации за своята линия Nexus, фирмата Exodus публикува публикация в блог ужасно казва, че поне един експлойт е останал неизправен, което означава, че Google се е объркал с кода. Великобритания публикация Регистърът, в мълчаливо написано парче, цитира инженер от Rapid7, който казва, че следващата корекция ще дойде в актуализацията за сигурност през септември - част от новия месечен процес за корекция на сигурността.

Google от своя страна все още не е публично разгледал това последно твърдение.

При липсата на допълнителни подробности за тази, ние сме склонни да вярваме, че в по-лошия случай сме се върнали там, където сме започнали - че има недостатъци в libStageFight, но че има и други нива на сигурност, които трябва да смекчат възможността устройствата в действителност да бъдат експлоатирани.

Един август 18. Trend Micro публикува публикация в блог на друг недостатък в libStageFright. Той заяви, че няма доказателства, че този експлойт действително се използва и че Google публикува кръпката към Android Open Project Project на август 1.

Нови подробности за Stagefright от август 5

Във връзка с конференцията BlackHat в Лас Вегас - на която бяха предоставени повече подробности за уязвимостта на Stagefright публично оповестено - Google се обърна специално към ситуацията с водещ инженер по сигурността на Android Адриан Лудвиг разказващ NPR че "в момента 90 процента от устройствата с Android имат технология, наречена ASLR, която защитава потребителите от проблема."

Това е много в противоречие с линията „900 милиона устройства с Android са уязвими“, която всички прочетохме. Въпреки че няма да навлизаме в разгара на война на думи и педантизъм за цифрите, това, което Лудвиг казваше, е, че устройства с Android 4.0 или по-нова версия - това е около 95 процента от всички активни устройства с услугите на Google - има вградена защита срещу атака за преливане на буфер.

ASLR (Address Стемпо Layout Randomization) е метод, който предпазва нападателя от надеждно намиране на функцията, която той или тя иска да опита и използва чрез произволно подреждане на адресните пространства на паметта на даден процес. ASLR е активиран в ядрото на Linux по подразбиране от юни 2005 г. и е добавен към Android с версия 4.0 (Сладоледен сандвич).

Как е това за уста?

Това означава, че ключовите области на изпълняваната програма или услуга не се поставят на едно и също място в RAM всеки път. Поставянето на нещата в паметта на случаен принцип означава, че всеки нападател трябва да познае къде да търси данните, които иска да използва.

Това не е перфектно решение и въпреки че общият защитен механизъм е добър, все още се нуждаем от директни корекции срещу известни експлойти, когато възникнат. Google, Samsung (1), (2) и Alcatel обявиха директен кръп за сценография, а Sony, HTC и LG казват, че ще пуснат актуализации през август.

Кой намери този експлойт?

Експлойтът беше обявен на 21 юли от мобилната охранителна фирма Zimperium като част от съобщение за нейното годишно парти на конференцията BlackHat. Да, добре сте прочели. Тази „Майка на всички уязвимости на Android“, както казва Zimperium, беше съобщи 21 юли (седмица преди някой да реши да се погрижи, очевидно), и само няколко думи още по-голямата бомба на „Вечерта на 6 август, Zimperium ще разтърси Вегасска парти сцена! "И знаете, че ще бъде бясно, защото това е" нашето годишно парти в Вегас за любимите ни нинджи ", изцяло с разтърсващ хаштаг и всичко.

Колко широко разпространен е този подвиг?

Отново броят на устройствата с недостатък в libStageFright самата библиотека е доста огромна, защото е в самата операционна система. Но както бе отбелязано от Google няколко пъти, има и други методи, които трябва да защитят вашето устройство. Мислете за това като за защита на слоеве.

Така че трябва ли да се тревожа за Stagefright или не?

Добрата новина е, че изследователят, който е открил този недостатък в Stagefright „не вярва, че хакерите в дивата природа са "Това е много лошо нещо, което очевидно никой не използва срещу никого, поне според този човек. И отново Google казва, че ако използвате Android 4.0 или по-нова версия, вероятно ще се оправите.

Това не означава, че не е лош потенциален експлойт. То е. Освен това подчертава трудностите при получаването на актуализации, изтласкани от екосистемата на производителя и превозвача. От друга страна, това е потенциален път за експлойт, който очевидно съществува от Android 2.2 - или основно през последните пет години. Това или ви прави тиктакаща бомба със закъснител, или доброкачествена киста, в зависимост от вашата гледна точка.

И от своя страна Google през юли повтори Android Central че има множество механизми за защита на потребителите.

Благодарим на Джошуа Дрейк за неговия принос. Сигурността на потребителите на Android е изключително важна за нас и затова отговорихме бързо и вече са предоставени корекции на партньори, които могат да бъдат приложени към всяко устройство.

Повечето устройства с Android, включително всички по-нови устройства, имат множество технологии, предназначени да направят експлоатацията по-трудна. Устройствата с Android също включват пясъчник за приложения, предназначен за защита на потребителските данни и други приложения на устройството.

Какво ще кажете за актуализации за коригиране на Stagefright?

Ще ни трябват системни актуализации, за да го закърпим наистина. В новия си „Група за сигурност на Android“ в август 12 бюлетин, Google издаде „Бюлетин за сигурността на Nexus“ детайлизиране на нещата от края му. Има подробности за множество CVE (Общи уязвимости и експозиции), включително когато партньорите са били уведомени (още на 10 април, за one), които изграждат корекции на Android (Android 5.1.1, build LMY48I) и други смекчаващи фактори (гореспоменатата ASLR памет схема).

Google също заяви, че е актуализирал своите приложения Hangouts и Messenger, така че да не се извършват автоматично обработва видео съобщения във фонов режим ", така че медиите да не се предават автоматично на медийния сървър процес. "

Лошата новина е, че повечето хора се налага да чакат производителите и превозвачите да изтласкат системните актуализации. Но отново - докато говорим за нещо като 900 милиона уязвими телефона там, ние също говорим нула известни случаи на експлоатация. Това са доста добри коефициенти.

HTC заяви, че актуализациите от тук нататък ще съдържат корекцията. И CyanogenMod ги включва и сега.

Motorola казва, че всички нейни телефони от текущо поколение - от Moto E до най-новия Moto X (и всичко между тях) ще бъде закърпено, който код отива към превозвачите от 10 август.

На август 5, Google пусна нови системни изображения за Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 и Nexus 10. Google също обяви, че ще пусне ежемесечни актуализации на защитата за линията Nexus за линията Nexus. (Вторият публично освободен M Преглед изглежда, че компилацията също вече е закърпена.)

И докато той не назова експлоата на Stagefright по име, Адриан Лудвиг от Google по-рано в Google+ вече бяха разгледани експлойти и сигурността като цяло, отново ни напомня за многобройните слоеве, които влизат в защитата на потребителите. Той пише:

Има често срещано погрешно предположение, че всяка софтуерна грешка може да се превърне в експлойт за сигурност. Всъщност повечето грешки не могат да бъдат използвани и има много неща, които Android е направил, за да подобри тези шансове. Прекарахме последните 4 години, инвестирайки сериозно в технологии, фокусирани върху един тип грешки - грешки при повреда на паметта - и опитвайки се да направим тези грешки по-трудни за експлоатация.

За повече информация как работи това, прочетете нашата Въпроси и отговори за сигурността с Лудвиг на Google.

Приложения за детектор Stagefight

Наистина не виждаме смисъл да използваме приложение „детектор“, за да видим дали телефонът ви е уязвим за експлоата Stagefright. Но ако трябва, има някои налични.

• Мобилен детектор на сценичен изглед
• Zimperium Detefright Detector