Androidin Stagefright-hyödyntäminen: Mitä sinun on tiedettävä

Heinäkuussa 2015 turvallisuusyhtiö Zimperium ilmoitti löytäneensä "yksisarvisen" haavoittuvuudesta Android-käyttöjärjestelmän sisällä. Lisätietoja julkistettiin BlackHat-konferenssissa elokuun alussa - mutta ei ennen otsikoita julistamalla, että lähes miljardi Android-laitetta voidaan mahdollisesti ottaa haltuun ilman edes niiden käyttäjiä tietäen sen.

Joten mikä on "Stagefright"? Ja sinun on huolehdittava siitä?

Päivitämme tätä viestiä jatkuvasti, kun lisätietoja julkaistaan. Tässä on mitä tiedämme ja mitä sinun on tiedettävä.

Mikä on Stagefright?

"Stagefright" on lempinimi potentiaaliselle hyödyntämiselle, joka asuu melko syvällä itse Android-käyttöjärjestelmässä. Ydin on, että MMS: n kautta lähetettyä videota (tekstiviesti) voitaisiin teoreettisesti käyttää hyökkäyskenttänä libStageFright mekanismi (eli "Stagefright" -nimi), joka auttaa Androidia käsittelemään videotiedostoja. Monet tekstiviestisovellukset - Googlen Hangouts-sovellus mainittiin erikseen - käsittelevät videon automaattisesti niin valmis katsottavaksi heti, kun avaat viestin, joten hyökkäys voisi teoriassa tapahtua ilman, että edes tiedät se.

Koska libStageFright juontaa juurensa Android 2.2: een, satoja miljoonia puhelimia sisältää tämän virheellisen kirjaston.

Elokuu 17-18: Hyödyntämistä on jäljellä?

Samalla kun Google alkoi päivittää Nexus-linjaansa, Exodus-yritys julkaisi blogikirjoituksen snarkisesti sanomalla, että ainakin yksi hyödyntäminen oli jäljellä, mikä tarkoittaa, että Google rikkoi koodin. Iso-Britannian julkaisu Rekisteri, jonkin sisällä räikeästi kirjoitettu pala, lainaa Rapid7: n insinöörin mukaan seuraava korjaus tulee syyskuun tietoturvapäivitykseen - osa uutta kuukausittaista tietoturvakorjausprosessia.

Google puolestaan ​​ei ole vielä julkisesti käsitellyt tätä viimeisintä vaatimusta.

Koska tälle ei ole lisätietoja, olemme taipuvaisia ​​uskomaan, että pahimmillaan olemme takaisin siellä, missä aloitimme - että on libStageFightin puutteita, mutta että on olemassa muita suojaustasoja, joiden pitäisi lieventää mahdollisuutta, että laitteet todella hyödynnetty.

Yksi elokuu 18. Trend Micro julkaisi blogikirjoituksen toisella puutteella libStageFrightissa. Se sanoi, ettei sillä ole todisteita siitä, että tätä hyväksikäyttöä todella käytetään, ja että Google julkaisi päivityksen Android Open Source Projectiin elokuussa. 1.

Uusi Stagefright-tiedot elokuusta alkaen 5

Yhdessä Las Vegasissa pidetyn BlackHat-konferenssin kanssa - jossa oli lisätietoja Stagefright-haavoittuvuudesta julkistettu - Google käsitteli tilannetta erityisesti Android-tietoturvan pääinsinöörin Adrian Ludwigin kanssa kertova NPR että "tällä hetkellä 90 prosentilla Android-laitteista on ASLR-tekniikka, joka suojaa käyttäjiä ongelmalta."

Tämä on hyvin ristiriidassa kaikkien lukemamme "900 miljoonan Android-laitteen haavoittuvuus" -linjan kanssa. Vaikka emme aio käydä kesken sodan ja pedantrian numeroiden suhteen, Ludwig sanoi, että laitteet, joissa on Android 4.0 tai uudempi - se on noin 95 prosenttia kaikista aktiivisista laitteista Google-palveluiden kanssa - suojaa sisäänrakennetulta puskurin ylivuotohyökkäykseltä.

ASLR (Amekko Svauhti Lei Randomization) on menetelmä, joka estää hyökkääjää löytämästä luotettavasti toimintoa, jota hän haluaa kokeilla ja hyödyntää järjestämällä prosessin muistiosoitetilat satunnaisesti. ASLR on ollut käytössä oletus Linux-ytimessä kesäkuusta 2005 lähtien, ja se lisättiin Androidiin versiolla 4.0 (Jäätelö voileipä).

Kuinka se suupalalle?

Se tarkoittaa, että käynnissä olevan ohjelman tai palvelun avainalueita ei aseteta samaan paikkaan RAM-muistissa joka kerta. Asettaminen muistiin satunnaisesti tarkoittaa, että jokaisen hyökkääjän on arvattava, mistä etsiä tietoja, joita hän haluaa hyödyntää.

Tämä ei ole täydellinen korjaus, ja vaikka yleinen suojamekanismi on hyvä, tarvitsemme silti suoria laastareita tunnettuja hyökkäyksiä vastaan, kun ne syntyvät. Google, Samsung (1), (2) ja Alcatel ovat ilmoittaneet suorasta korjaustiedostosta stagefrightille, ja Sony, HTC ja LG ilmoittavat julkaisevansa päivityskorjauksia elokuussa.

Kuka löysi tämän hyödyntämisen?

Matkapuhelinpalveluyritys Zimperium ilmoitti hyväksikäytöstä 21. heinäkuuta osana ilmoitusta BlackHat-konferenssin vuotuisesta juhlastaan. Kyllä, luit sen oikein. Tämä "kaikkien Android-haavoittuvuuksien äiti", kuten Zimperium sanoo, oli ilmoitti 21. heinäkuuta (viikko ennen kuin kukaan päätti huolehtia, ilmeisesti), ja vain muutama sana vielä isompi pommi "6. elokuuta illalla Zimperium rokkaa Vegas-bileet! "Ja tiedät, että siitä tulee räikeämpi, koska se on" vuosittainen Vegas-juhlamme suosikkininjamme varten ", täysin rockin hashtagilla ja kaikki.

Kuinka laajasti tämä hyväksikäyttö on?

Jälleen niiden laitteiden määrä, joissa on vika libStageFright kirjasto itsessään on melko valtava, koska se on itse käyttöjärjestelmässä. Mutta kuten Google on todennut useita kertoja, on olemassa muita menetelmiä, joiden pitäisi suojata laitettasi. Ajattele sitä tietoturvana kerroksittain.

Joten minun pitäisi huolehtia Stagefrightista vai ei?

Hyvä uutinen on, että tutkija, joka löysi tämän puutteen Stagefrightista, "ei usko, että hakkerit luonnossa ovat Joten on erittäin huono asia, jota kukaan ei ilmeisesti käytä ketään vastaan, ainakin tämän mukaan henkilö. Ja jälleen, Google sanoo, että jos käytät Android 4.0: ta tai uudempaa, olet todennäköisesti kunnossa.

Se ei tarkoita, että se ei ole huono potentiaalinen hyödyntäminen. Se on. Ja se korostaa edelleen vaikeuksia saada päivityksiä työnnetään valmistajan ja operaattorin ekosysteemin kautta. Toisaalta, se on potentiaalinen hyödyntämiskeino, joka on ilmeisesti ollut olemassa Android 2.2: n - tai pohjimmiltaan viimeisten viiden vuoden - jälkeen. Se joko tekee sinusta tikittävän aikapommin tai hyvänlaatuisen kystan näkökulmastasi riippuen.

Ja omalta osaltaan Google toisti heinäkuussa Android Central että käyttäjien suojaamiseksi on käytössä useita mekanismeja.

Kiitämme Joshua Drakea hänen panoksestaan. Android-käyttäjien turvallisuus on meille erittäin tärkeää, joten reagoimme nopeasti ja kumppaneille on jo toimitettu korjaustiedostoja, joita voidaan käyttää mihin tahansa laitteeseen.

Useimmilla Android-laitteilla, mukaan lukien kaikki uudemmat laitteet, on useita tekniikoita, jotka on suunniteltu vaikeuttamaan hyödyntämistä. Android-laitteet sisältävät myös sovelluksen hiekkalaatikon, joka on suunniteltu suojaamaan käyttäjätietoja ja muita laitteen sovelluksia.

Entä päivitykset korjata Stagefright?

Tarvitsemme järjestelmäpäivityksiä tämän korjaamiseksi todella. Uudessa "Android Security Group" elokuussa 12 tiedote, Google julkaisi "Nexus-tietoturvatiedotteen" yksityiskohtaisesti asioita sen lopusta. On yksityiskohtia useista CVE: stä (Common Vulnerability and Exposures), myös siitä, milloin kumppaneille ilmoitettiin (jo 10. huhtikuuta). yksi), joka rakentaa Androidin korjauksia (Android 5.1.1, koota LMY48I) ja muut lieventävät tekijät (edellä mainittu ASLR-muisti järjestelmä).

Google sanoi myös päivittäneensä Hangouts- ja Messenger-sovelluksensa, jotta ne eivät automaattisesti käsitellä videoviestejä taustalla ", jotta mediaa ei välitetä automaattisesti mediapalvelimelle prosessi."

Huono uutinen on, että useimpien ihmisten on jouduttava odottamaan valmistajia ja operaattoreita ajamaan järjestelmäpäivityksiä. Mutta jälleen - vaikka puhumme jotain 900 miljoonaa haavoittuvaa puhelinta siellä, puhumme myös nolla tunnetut hyväksikäytötapaukset. Nämä ovat melko hyvät kertoimet.

HTC on sanonut, että päivitykset tästä eteenpäin sisältävät korjauksen. Ja syanogeeniMod sisällyttää ne myös nyt.

Motorola sanoo, että kaikki nykyisen sukupolven puhelimet - Moto E: stä uusimpaan Moto X: ään (ja kaikkeen siltä väliltä) korjataan, joka koodi siirtyy operaattoreille 10. elokuuta alkaen.

Elokuussa 5, Google julkaisi uudet järjestelmäkuvat Nexus 4: lle, Nexus 5: lle, Nexus 6: lle, Nexus 7: lle, Nexus 9: lle ja Nexus 10: lle. Google ilmoitti myös julkaisevansa kuukausittaiset Nexus-linjan tietoturvapäivitykset Nexus-linjalle. (Toinen julkisesti julkaistu M Esikatselu myös koontiversio näyttää olevan jo korjattu.)

Ja vaikka hän ei nimittänyt Stagefright-hyväksikäyttöä nimeltä, Googlen Adrian Ludwig aiemmin Google+: ssa oli jo käsitelty hyväksikäyttöä ja yleistä turvallisuutta, muistuttaa jälleen kerran monista tasoista, jotka menevät käyttäjien suojaamiseen. Hän kirjoittaa:

On yleinen, virheellinen oletus, että mikä tahansa ohjelmistovirhe voidaan muuttaa tietoturva-avuksi. Itse asiassa useimmat virheet eivät ole hyödynnettävissä, ja Android on tehnyt monia asioita näiden kertoimien parantamiseksi. Olemme viettäneet viimeiset 4 vuotta investoimalla paljon tekniikoihin, jotka keskittyvät yhden tyyppisiin virheisiin - muistivirheitä aiheuttaviin virheisiin - ja yrittäneet vaikeuttaa näiden virheiden hyödyntämistä.

Lisätietoja siitä, miten se toimii, lue meidän Kysymyksiä ja vastauksia Googlen Ludwigin tietoturvasta.

Stagefight-ilmaisinsovellukset

Emme todellakaan näe "detektori" -sovelluksen käyttämisen tarkoitusta nähdäksesi, onko puhelimesi herkkä Stagefright-hyväksikäytölle. Mutta jos sinun täytyy, on joitain saatavilla.

• Lookout Mobile Stagefright Detector
• Zimperium Stagefright -ilmaisin