V červenci 2015 bezpečnostní společnost Zimperium oznámila, že v operačním systému Android objevila „jednorožce“ zranitelnosti. Další podrobnosti byly veřejně zveřejněny na konferenci BlackHat začátkem srpna - ne však před titulky prohlašuje, že téměř miliarda zařízení s Androidem by mohla být převzata i bez jejich uživatelů věděl to.
Co je tedy „Stagefright“? A musíte si s tím dělat starosti?
Tento příspěvek průběžně aktualizujeme, protože jsou zveřejňovány další informace. Tady je to, co víme a co potřebujete vědět.
Co je Stagefright?
„Stagefright“ je přezdívka pro potenciální exploit, který žije poměrně hluboko uvnitř samotného operačního systému Android. Podstatou je, že video odeslané prostřednictvím MMS (textové zprávy) lze teoreticky použít jako cestu útoku prostřednictvím libStageFright mechanismus (tedy název „Stagefright“), který Androidu pomáhá zpracovávat video soubory. Mnoho aplikací pro zasílání textových zpráv - konkrétně byla zmíněna aplikace Google Hangouts - toto video automaticky zpracovává, takže je připraven k prohlížení, jakmile otevřete zprávu, a útok by tak teoreticky mohl nastat, aniž byste o tom věděli to.
Verizon nabízí Pixel 4a za pouhých 10 $ / měsíc na nových linkách Unlimited
Protože libStageFright se datuje k Androidu 2.2, tuto chybnou knihovnu obsahují stovky milionů telefonů.
Srpna 17-18: Exploity zůstávají?
Právě když Google začal zavádět aktualizace pro svoji řadu Nexus, firmu Exodus zveřejnil příspěvek na blogu ostře říkal, že alespoň jeden exploit zůstal neopravený, což znamená, že Google kód pokazil. UK publikace Registrace, v flouncily psaný kus, cituje inženýra z Rapid7, který říká, že další oprava přijde v září v aktualizaci zabezpečení - součást nového měsíčního procesu opravy zabezpečení.
Google zatím tuto veřejnou žalobu veřejně neřeší.
Při absenci dalších podrobností o tomto máme sklon věřit, že v horším případě jsme zpět tam, kde jsme začali - že existují chyby v libStageFight, ale že existují další vrstvy zabezpečení, které by měly zmírnit možnost, že zařízení skutečně budou využíván.
Jeden srpen 18. Trend Micro zveřejnil příspěvek na blogu na další chybě v libStageFright. Uvedl, že nemá žádné důkazy o tom, že by se tento exploit skutečně používal, a že by to byl Google zveřejnil opravu projektu Android Open Source v srpnu 1.
Nové podrobnosti Stagefright od srpna 5
Ve spojení s konferencí BlackHat v Las Vegas - na které byly další podrobnosti o zranitelnosti Stagefright veřejně zveřejněno - Google řešil situaci konkrétně s vedoucím inženýrem pro bezpečnost Android Adrianem Ludwigem vyprávění NPR že „v současné době má 90 procent zařízení Android povolenou technologii nazvanou ASLR, která chrání uživatele před tímto problémem.“
To je velmi v rozporu s řádkem „900 milionů zařízení Android je zranitelných“, který jsme si všichni přečetli. I když se nebudeme dostat do války slov a pedantství nad čísly, Ludwig říkal, že zařízení se systémem Android 4.0 nebo vyšším - to je asi 95 procent všech aktivních zařízení se službami Google - máte zabudovanou ochranu proti útoku přetečení vyrovnávací paměti.
ASLR (Aadresa Stempo Layout Randomizace) je metoda, která útočníkovi brání ve spolehlivém nalezení funkce, kterou chce zkusit využít náhodným uspořádáním paměťových adresních prostorů procesu. ASLR je ve výchozím jádře Linuxu povoleno od června 2005 a bylo přidáno do systému Android ve verzi 4.0 (Zmrzlinový sendvič).
Jak je to za sousto?
To znamená, že klíčové oblasti spuštěného programu nebo služby nejsou v paměti RAM pokaždé umístěny na stejné místo. Náhodné ukládání věcí do paměti znamená, že každý útočník musí hádat, kde hledat data, která chce zneužít.
To není dokonalá oprava, a přestože je obecný ochranný mechanismus dobrý, stále potřebujeme přímé opravy proti známým exploitům, i když k nim dojde. Google, Samsung (1), (2) a Alcatel ohlásili přímý patch pro stagefright a Sony, HTC a LG tvrdí, že v srpnu vydají aktualizace.
Kdo našel toto zneužití?
Exploze byla oznámena 21. července mobilní bezpečnostní firmou Zimperium jako součást oznámení pro její každoroční večírek na konferenci BlackHat. Ano, čtete správně. Tato „Matka všech zranitelností systému Android“, jak říká Zimperium, byla oznámil 21. července (zjevně týden před tím, než se kdokoli rozhodl se o to postarat), a jen pár slov ještě větší bomba „Večer 6. srpna bude Zimperium Vegas party scéna! “A víte, že to bude zuřivý, protože je to„ náš každoroční vegasový večírek pro naše oblíbené ninjy “, zcela s rockinovým hashtagem a všechno.
Jak rozšířené je toto zneužití?
Počet zařízení s chybou v libStageFright knihovna sama o sobě je docela obrovská, protože je v samotném OS. Jak ale Google několikrát poznamenal, existují i jiné metody, které by vaše zařízení měly chránit. Přemýšlejte o tom jako o zabezpečení ve vrstvách.
Měl bych si dělat starosti se Stagefrightem nebo ne?
Dobrou zprávou je, že výzkumník, který objevil tuto chybu ve Stagefright „nevěří, že hackeři ve volné přírodě jsou využívat to. “Takže je to velmi špatná věc, kterou zjevně nikdo ve skutečnosti proti nikomu nepoužívá, alespoň podle tohoto osoba. Google znovu říká, že pokud používáte Android 4.0 nebo vyšší, pravděpodobně budete v pořádku.
To neznamená, že to není špatný potenciální exploit. To je. A dále zdůrazňuje obtíže při prosazování aktualizací prostřednictvím ekosystému výrobce a nosiče. Na druhou stranu je to potenciální cesta k využití, která zřejmě existuje již od Androidu 2.2 - nebo v podstatě posledních pět let. To z vás buď dělá tikající časovanou bombu, nebo benigní cysty, podle vašeho úhlu pohledu.
Google v červenci zopakoval: Android Central že existuje více mechanismů k ochraně uživatelů.
Děkujeme Joshuovi Drakeovi za jeho příspěvky. Zabezpečení uživatelů Androidu je pro nás nesmírně důležité, a proto jsme reagovali rychle a již byly poskytnuty opravy partnerům, které lze aplikovat na jakékoli zařízení.
Většina zařízení s Androidem, včetně všech novějších zařízení, má několik technologií, které jsou navrženy tak, aby ztěžovaly využívání. Zařízení Android také obsahují karanténu aplikací určenou k ochraně uživatelských dat a dalších aplikací v zařízení.
A co aktualizace k opravě Stagefright?
Abychom to opravdu opravili, budeme potřebovat aktualizace systému. Ve své nové „Android Security Group“ v srpnu 12 bulletin, Google vydal „bulletin zabezpečení Nexus“ popisující věci od jeho konce. Existují podrobnosti o několika CVE (Společné chyby zabezpečení a ohrožení), včetně případů, kdy byli partneři upozorněni (již 10. dubna, pro jedna), která sestavuje opravy pro Android (Android 5.1.1, sestavení LMY48I) a další zmírňující faktory (výše uvedená paměť ASLR systém).
Google také uvedl, že aktualizoval své aplikace Hangouts a Messenger tak, aby se neaktualizovaly automaticky zpracovávat video zprávy na pozadí ", aby média nebyla automaticky předávána na server médií proces."
Špatnou zprávou je, že většina lidí musí čekat na výrobce a přepravce, aby mohli vydat aktualizace systému. Ale opět - když mluvíme o 900 milionech zranitelných telefonů, mluvíme také nula známé případy vykořisťování. To jsou docela dobré šance.
Společnost HTC uvedla, že aktualizace od této chvíle budou opravu obsahovat. A CyanogenMod je začleňuje také nyní.
Motorola uvádí všechny své telefony současné generace - od Moto E po nejnovější Moto X (a vše mezi tím) bude oprava, který kód bude poskytnut dopravcům od 10. srpna.
Srpna 5, Google vydal nové systémové obrázky pro Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 a Nexus 10. Google také oznámil, že jej vydá měsíční bezpečnostní aktualizace řady Nexus pro řadu Nexus. (Druhý veřejně vydán M Náhled build se zdá být také opravený.)
A i když pojmenoval explozi Stagefright jménem, Adrian Ludwig z Googlu dříve na Google+ již řešila zneužití a zabezpečení obecně, opět nám připomíná několik vrstev, které chrání uživatele. Napsal:
Existuje běžný mylný předpoklad, že z jakékoli softwarové chyby lze udělat bezpečnostní exploit. Ve skutečnosti většina chyb není využitelná a existuje mnoho věcí, které Android pro zlepšení těchto šancí udělal. Poslední 4 roky jsme strávili intenzivními investicemi do technologií zaměřených na jeden typ chyby - chyby poškození paměti - a pokusili jsme se tyto chyby těžší zneužít.
Další informace o tom, jak to funguje, najdete v našem Otázky a odpovědi o bezpečnosti s Ludwigem od Googlu.
Stagefight detektorové aplikace
Opravdu nevidíme smysl v používání aplikace „detektor“, abychom zjistili, zda je váš telefon zranitelný vůči explozi Stagefright. Ale pokud musíte, některé jsou k dispozici.
- Lookout Mobile Stagefright Detector
- Detektor Zimperium Stagefright
Poslouchali jste tento týden Android Central Podcast?
Každý týden vám Android Central Podcast přináší nejnovější technologické novinky, analýzy a zajímavé záběry se známými hostiteli a speciálními hosty.
- Přihlaste se k odběru do kapesních her: Zvuk
- Přihlaste se k odběru ve Spotify: Zvuk
- Přihlásit se k odběru v iTunes: Zvuk
Můžeme získat provizi za nákupy pomocí našich odkazů. Zjistit více.
Jedná se o nejlepší bezdrátová sluchátka, která si můžete koupit za každou cenu!
Nejlepší bezdrátová sluchátka jsou pohodlná, skvěle zní, nestojí příliš mnoho a snadno se vejdou do kapsy.
Vše, co potřebujete o PS5 vědět: Datum vydání, cena a další.
Společnost Sony oficiálně potvrdila, že pracuje na PlayStation 5. Tady je vše, co o tom zatím víme.
Nokia uvádí na trh dva nové levné telefony Android One s cenou do 200 $.
Nokia 2.4 a Nokia 3.4 jsou nejnovější přírůstky do řady levných smartphonů HMD Global. Jelikož jsou obě zařízení Android One, je zaručeno, že budou dostávat dvě hlavní aktualizace operačního systému a pravidelné aktualizace zabezpečení až na tři roky.
Toto jsou nejlepší kapely pro Fitbit Sense a Versa 3.
Spolu s vydáním Fitbit Sense a Versa 3 společnost představila také nová nekonečná pásma. Vybrali jsme ty nejlepší, abychom vám usnadnili práci.