2015. aasta juulis teatas turvaettevõte Zimperium, et avastas Androidi operatsioonisüsteemi haavatavuse "ükssarviku". Lisateave avalikustati augusti alguses toimunud BlackHati konverentsil - kuid mitte enne pealkirju kuulutades, et ligi miljard Android-seadet võib potentsiaalselt üle võtta ilma nende kasutajateta seda teades.
Mis on siis "Stagefright"? Ja kas peate selle pärast muretsema?
Uuendame seda postitust pidevalt, kuna avaldatakse rohkem teavet. Siin on see, mida me teame ja mida peate teadma.
Mis on Stagefright?
"Stagefright" on hüüdnimi, mis antakse potentsiaalsele ärakasutamisele, mis elab üsna sügaval Androidi operatsioonisüsteemi sees. Põhimõte on see, et MMS-i (tekstsõnumi) kaudu saadetud videot saab teoreetiliselt kasutada rünnakute libStageFright mehhanism (seega nimi "Stagefright"), mis aitab Androidil videofaile töödelda. Paljud tekstisõnumirakendused - Google'i Hangoutsi rakendus mainiti eraldi - töötlevad seda videot automaatselt nii, et see oleks valmis vaatamiseks kohe, kui sõnumi avate, ja seega võib rünnak teoreetiliselt juhtuda ilma, et te seda isegi teaksite seda.
Verizon pakub Pixel 4a uutele piiramatutele liinidele vaid 10 dollarit kuus
Sest libStageFright pärineb Android 2.2-st, sisaldavad seda vigast raamatukogu sajad miljonid telefonid.
Aug. 17–18: Kasutus jääb alles?
Just siis, kui Google hakkas oma Nexuse liini värskendusi välja tooma, on see ka Exoduse firma avaldas blogipostituse kavalalt öeldes, et vähemalt üks ekspluateerimine jäi laekumata, mis tähendab, et Google on koodiga kokku keeranud. Ühendkuningriigi väljaanne Register, sees labaselt kirjutatud tükk, tsiteerib Rapid7 insener, öeldes, et järgmine parandus saabub septembri turvavärskenduses - see on osa igakuisest uuest turvapaigutusprotsessist.
Google omalt poolt pole seda viimast nõuet veel avalikult käsitlenud.
Selle üksikasjaliku teabe puudumisel kaldume uskuma, et halvemal juhul oleme tagasi seal, kus alustasime - seal on puudused libStageFightis, kuid et on ka muid turvakihte, mis peaksid leevendama seadmete ära kasutatud.
Ühel aug. 18. Trend Micro avaldas blogipostituse libStageFrighti järjekordsel veal. Ta ütles, et tal pole tõendeid selle ärakasutamise tegeliku kasutamise kohta ja et Google avaldas Androidi avatud lähtekoodiga projekti plaastri aug. 1.
Uued Stagefright'i detailid alates aug. 5
Koos Las Vegases toimunud BlackHati konverentsiga, kus olid Stagefrighti haavatavuse üksikasjad avalikustatud - Google käsitles olukorda konkreetselt koos Androidi turvalisuse juhtivinsener Adrian Ludwigiga rääkimine NPR et "praegu on 90 protsendil Android-seadmetest lubatud tehnoloogia nimega ASLR, mis kaitseb kasutajaid selle probleemi eest."
See on väga vastuolus reaga "900 miljonit Android-seadet on haavatavad", mida me kõik oleme lugenud. Kuigi me ei kavatse sattuda keset sõda ja pedantriat numbrite pärast, ütles Ludwig, et seadmed, millel on Android 4.0 või uuem versioon - see on umbes 95 protsenti kõigist aktiivsetest seadmetest Google'i teenustega - teil on sisseehitatud kaitse puhvri ülevoolurünnaku eest.
ASLR (Akleit Stempos Layout Randomiseerimine) on meetod, mis hoiab ründajat usaldusväärselt üles leidmast funktsiooni, mida ta soovib proovida ja kasutada protsessi mälu aadressiruumide juhusliku paigutuse abil. ASLR on olnud vaikimisi Linuxi tuumas lubatud alates juunist 2005 ja lisati Androidile versiooniga 4.0 (Jäätisevõileib).
Kuidas see suutäie jaoks on?
See tähendab, et töötava programmi või teenuse põhivaldkondi ei paigutata RAM-is iga kord samasse kohta. Asjade juhuslik mällu panemine tähendab, et iga ründaja peab ära arvama, kust otsida andmeid, mida ta kasutada soovib.
See pole täiuslik lahendus ja kuigi üldine kaitsemehhanism on hea, vajame siiski teadaolevate ekspluateerimiste vastu otseseid plaastreid, kui need tekivad. Google, Samsung (1), (2) ja Alcatel on teatanud otsekohesest lavaletoomise plaastrist ning Sony, HTC ja LG teatavad, et annavad augustis välja värskendusplaastrid.
Kes leidis selle ärakasutamise?
Kasutamisest teatas 21. juulil mobiilse turvaettevõte Zimperium osana oma aastapidu BlackHati konverentsil toimuvast teatest. Jah, lugesite seda õigesti. See "kõigi Androidi turvaaukude ema", nagu Zimperium ütleb, oli teatas 21. juuli (nädal enne seda, kui keegi ilmselt otsustas hoolida) ja vaid mõne sõnaga veelgi suurem pomm "6. augusti õhtul rokib Zimperium Vegase pidustseen! "Ja teate, et sellest saab räme, sest see on" meie iga-aastane Vegase pidu meie lemmikninjadele ", millel on rokiliku hashtagi ja kõike.
Kui levinud on see ärakasutamine?
Jällegi seadmete arv, millel on viga libStageFright raamatukogu ise on päris tohutu, sest see asub operatsioonisüsteemis endas. Kuid nagu Google on mitu korda märkinud, on olemas ka muid meetodeid, mis peaksid teie seadet kaitsma. Mõelge sellele kui kihtide turvalisusele.
Kas peaksin siis Stagefright'i pärast muretsema või mitte?
Hea uudis on see, et Stagefrightis selle vea avastanud teadlane "ei usu, et looduses olevad häkkerid on selle kasutamine. "Nii et see on väga halb asi, mida ilmselt keegi kellegi vastu ei kasuta, vähemalt selle järgi isik. Ja jällegi ütleb Google, et kui kasutate operatsioonisüsteemi Android 4.0 või uuemat versiooni, on teil tõenäoliselt kõik korras.
See ei tähenda, et see poleks halb potentsiaalne ärakasutamine. See on. Ja see tõstab veelgi esile tootja ja operaatori ökosüsteemi kaudu välja surutud värskenduste saamise raskusi. Teisest küljest on see potentsiaalne ärakasutamise võimalus, mis on ilmselt olnud alates Android 2.2-st või põhimõtteliselt viimasest viiest aastast. See muudab teid kas tiksuvaks viitsütikupommiks või healoomuliseks tsüstiks, sõltuvalt teie vaatenurgast.
Ja omalt poolt kordas Google juulis Android Central et kasutajate kaitsmiseks on olemas mitu mehhanismi.
Täname Joshua Drake'i tema panuse eest. Androidi kasutajate turvalisus on meie jaoks äärmiselt oluline ja seetõttu reageerisime kiiresti ning partneritele on juba antud plaastreid, mida saab igale seadmele rakendada.
Enamikul Android-seadmetest, sealhulgas kõigil uuematel seadmetel, on mitu tehnoloogiat, mis on loodud kasutamise raskendamiseks. Android-seadmed sisaldavad ka rakenduste liivakasti, mis on loodud kasutajaandmete ja muude seadmes olevate rakenduste kaitsmiseks.
Aga Stagefrighti parandamise värskendused?
Selle tõeliseks parandamiseks vajame süsteemivärskendusi. Oma uues "Android Security Group" augustis 12 bülletään, Google välja andnud "Nexuse turvabülletääni" üksikasju selle lõpust. On üksikasju mitme CVE (levinud haavatavuste ja riskide) kohta, sealhulgas sellest, millal teavitati partnereid (juba 10. aprillil) üks), mis koosnes Androidi parandustest (Android 5.1.1, ehitage LMY48I) ja muudest kergendavatest teguritest (ülalnimetatud ASLR-mälu skeem).
Google ütles ka, et see on oma Hangoutsi ja Messengeri rakendusi värskendanud, et need automaatselt ei toimuks töödelda videosõnumeid taustal ", nii et meediat ei edastataks automaatselt mediaserverile protsess. "
Halb uudis on see, et enamus inimesi peavad süsteemivärskenduste väljaajamiseks ootama tootjaid ja vedajaid. Kuid jällegi - samal ajal kui räägime umbes 900 miljonist haavatavast telefonist, räägime ka null teadaolevad ekspluateerimise juhtumid. Need on üsna head koefitsiendid.
HTC on öelnud, et siit pärit värskendused sisaldavad parandust. Ja CyanogenMod lisab neid ka nüüd.
Motorola ütleb, et kõik oma praeguse põlvkonna telefonid - alates Moto E-st kuni uusima Moto X-ni (ja kõik muu vahepealne) lappitakse, mis kood läheb operaatoritele alates 10. augustist.
Augustil 5, Google avaldas Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 ja Nexus 10 jaoks uued süsteemipildid. Google teatas ka vabastamisest igakuised Nexuse liini turvavärskendused Nexuse liini jaoks. (Teine avalikult avaldatud M Eelvaade tundub, et juba on ka lapp tehtud.)
Ja kuigi ta ei nimetanud Stagefrighti ärakasutamist nime järgi, on Google'i Adrian Ludwig Varem teenuses Google+ oli juba käsitletud ekspluateerimist ja turvalisust üldiselt, tuletades meile taas meelde mitu kihti, mis kaitsevad kasutajaid. Ta kirjutab:
On levinud, ekslik oletus, et mis tahes tarkvaravea saab muuta turvaekspluatatsiooniks. Tegelikult ei ole enamik vigu ärakasutatavad ja Android on nende koefitsientide parandamiseks teinud palju asju. Oleme kulutanud viimased 4 aastat palju investeeringuid tehnoloogiatesse, mis on keskendunud ühte tüüpi vigadele - mälukorruptsioonivigadele - ja püüdnud neid vigu raskemini ära kasutada.
Lisateavet selle kohta, kuidas see töötab, lugege meie Google'i Ludwigi turvalisuse küsimused ja vastused.
Stagefight detektori rakendused
Me ei näe tegelikult "detektori" rakenduse kasutamisel mõtet, et näha, kas teie telefon on Stagefright'i ärakasutamise suhtes haavatav. Aga kui peate, on mõned saadaval.
- Lookout mobiilne lavalennu detektor
- Zimperium Stagefright Detector
Kas olete kuulanud selle nädala Android Central Podcasti?
Igal nädalal toob Android Central Podcast teile tuttavad kaassaatejuhid ja erikülalised uusimad tehnoloogiauudised, analüüsid ja kuumad võtted.
- Telli taskuülekanded: Heli
- Telli Spotifys: Heli
- Telli iTunes'is: Heli
Võime teenida komisjonitasu ostude eest, kasutades meie linke. Lisateave.
Need on parimad traadita kõrvaklapid, mida saate iga hinnaga osta!
Parimad traadita kõrvaklapid on mugavad, kõlavad suurepäraselt, ei maksa liiga palju ja sobivad lihtsalt taskusse.
Kõik, mida peate teadma PS5 kohta: väljaandmise kuupäev, hind ja palju muud.
Sony on ametlikult kinnitanud, et töötab PlayStation 5-ga. Siin on kõik, mida me selle kohta siiani teame.
Nokia toob turule kaks uut eelarvelist Android One telefoni, mille hind on alla 200 dollari.
Nokia 2.4 ja Nokia 3.4 on HMD Globali eelarveliste nutitelefonide valiku viimased täiendused. Kuna mõlemad on Android One seadmed, saavad nad kaks peamist OS-i värskendust ja regulaarset turvavärskendust kuni kolmeks aastaks.
Need on Fitbit Sense ja Versa 3 parimad ansamblid.
Koos Fitbit Sense ja Versa 3 väljaandmisega tutvustas ettevõte ka uusi lõpmatusribasid. Oleme teie jaoks asjade lihtsustamiseks välja valinud parimad.