Članak

Ekploat za Android 'Stagefright': Što trebate znati

U srpnju 2015. zaštitna tvrtka Zimperium objavila je da je otkrila "jednoroga" ranjivosti unutar operativnog sustava Android. Više detalja javno je objavljeno na konferenciji BlackHat početkom kolovoza - ali ne prije naslova izjavljujući da bi gotovo milijardu Android uređaja potencijalno moglo biti preuzeto i bez njihovih korisnika znajući to.

Pa, što je "scenski strah"? I trebate li se brinuti zbog toga?

Neprestano ažuriramo ovaj post kako se objavljuju dodatne informacije. Evo što znamo i što trebate znati.

Što je Stagefright?

"Stagefright" nadimak je nad potencijalnim podvigom koji živi prilično duboko u samom Android operativnom sustavu. Suština je u tome što bi se videozapis poslan putem MMS-a (tekstualna poruka) teoretski mogao koristiti kao put napada putem libStageFright mehanizam (dakle naziv "Stagefright"), koji Androidu pomaže u obradi video datoteka. Mnoge aplikacije za razmjenu tekstnih poruka - posebno je spomenuta Googleova aplikacija Hangouts - automatski obrađuju taj videozapis, pa je tako spreman za pregled čim otvorite poruku, pa bi se napad teoretski mogao dogoditi a da vi ni ne znate to.

Verizon nudi Pixel 4a za samo 10 USD mjesečno na novim Neograničenim linijama

Jer libStageFright datira iz Androida 2.2, stotine milijuna telefona sadrže ovu manjkavu biblioteku.

Kolovoza 17-18: Ostaju li eksploati?

Baš kad je Google počeo izdavati ažuriranja za svoju liniju Nexus, tvrtka Exodus objavio post na blogu mrzovoljno govoreći da je barem jedan exploit ostao nezakrpan, implicirajući da je Google zeznuo kod. UK publikacija Registar, u floskulo napisan komad, citira inženjera iz Rapid7-a kako je rekao da će sljedeći popravak doći u sigurnosnom ažuriranju u rujnu - dijelu novog mjesečnog postupka zakrpe.

Google sa svoje strane još nije javno riješio ovu posljednju tvrdnju.

U nedostatku dodatnih detalja za ovaj, skloni smo vjerovati da smo u gorem slučaju ponovno tamo gdje smo započeli - da postoje nedostaci u libStageFightu, ali da postoje i drugi slojevi sigurnosti koji bi trebali umanjiti mogućnost da uređaji zapravo budu iskorištavan.

Jednog kolovoza 18. Trend Micro objavio post na blogu na još jednoj grešci u libStageFright. Reklo je da nema dokaza o tome da se taj eksploat stvarno koristi, kao i da Google objavio zakrpu za Android Open Source Project kolovoza 1.

Novi detalji Stagefright-a od kolovoza 5

Zajedno s konferencijom BlackHat u Las Vegasu - na kojoj je bilo više detalja o ranjivosti Stagefright javno objavljeno - Google se situaciji pozabavio posebno s vodećim inženjerom za Android sigurnost Adrianom Ludwigom kazivanja NPR da "trenutno 90 posto Android uređaja ima omogućenu tehnologiju nazvanu ASLR koja štiti korisnike od problema".

To se u velikoj mjeri kosi s linijom "900 milijuna Android uređaja je ranjivo" koju smo svi pročitali. Iako nećemo ulaziti u središte rata riječi i pedantnosti zbog brojeva, ono što je Ludwig govorio je da uređaji s Androidom 4.0 ili novijim - to je oko 95 posto svih aktivnih uređaja s Googleovim uslugama - imaju ugrađenu zaštitu od napada prekoračenja međuspremnika.

ASLR (Address Stempo Layout Randomization) je metoda koja napadaču onemogućava da pouzdano pronađe funkciju koju želi probati i iskoristiti slučajnim rasporedom memorijskih adresnih prostora procesa. ASLR je omogućen u zadanoj jezgri Linuxa od lipnja 2005. i dodan je Androidu s verzijom 4.0 (Sendvič od sladoleda).

Kako je to za guštanje?

To znači da ključna područja programa ili usluge koja se izvode nisu svaki put stavljena na isto mjesto u RAM-u. Nasumično stavljanje stvari u memoriju znači da bilo koji napadač mora pogoditi gdje tražiti podatke koje želi iskoristiti.

Ovo nije savršeno rješenje, a iako je opći zaštitni mehanizam dobar, još uvijek trebamo izravne zakrpe protiv poznatih iskorištavanja kad se pojave. Google, Samsung (1), (2) i Alcatel najavili su izravnu zakrpu za scenografiju, a Sony, HTC i LG kažu kako će u kolovozu objaviti zakrpe za ažuriranje.

Tko je pronašao ovo iskorištavanje?

Eksploataciju je 21. srpnja najavila mobilna zaštitarska tvrtka Zimperium u sklopu najave za svoju godišnju zabavu na konferenciji BlackHat. Da, dobro ste pročitali. Ova "Majka svih Android ranjivosti", kako kaže Zimperium, bila je najavio 21. srpnja (tjedan dana prije nego što je očito bilo kome stalo), a samo nekoliko riječi još veća bomba "Navečer 6. kolovoza Zimperium će zaljuljati Vegas zabavna scena! "I znate da će to biti bijesna stvar, jer je to" naša godišnja zabava u Vegasu za naše omiljene nindže ", potpuno s groznim hashtagom i sve.

Koliko je ovo izrabljivanje rašireno?

Opet, broj uređaja s nedostatkom libStageFright Sama knjižnica je prilično velika, jer se nalazi u samom OS-u. No, kao što je Google primijetio nekoliko puta, postoje i druge metode koje bi trebale zaštititi vaš uređaj. Shvatite to kao sigurnost u slojevima.

Dakle, trebam li se brinuti za Stagefright ili ne?

Dobra vijest je da istraživač koji je otkrio ovu manu u Stagefrightu "ne vjeruje da su hakeri u divljini iskorištavajući ga. "Dakle, vrlo je loša stvar koju očito nitko zapravo ne koristi protiv nikoga, barem prema ovom osoba. I opet, Google kaže da ako koristite Android 4.0 ili noviji, vjerojatno ćete biti u redu.

To ne znači da to nije loše potencijalno iskorištavanje. To je. I dalje naglašava poteškoće s postizanjem ažuriranja kroz ekosustav proizvođača i prijevoznika. S druge strane, to je potencijalni put za eksploataciju koji očito postoji od Androida 2.2 - ili u osnovi posljednjih pet godina. Zbog toga ili otkucava tempirana bomba, ili je benigna cista, ovisno o vašem gledištu.

A sa svoje strane, Google je u srpnju ponovio Android Central da postoji više mehanizama za zaštitu korisnika.

Zahvaljujemo Joshui Drakeu na doprinosu. Sigurnost Android korisnika izuzetno nam je važna, pa smo brzo odgovorili, a partneri su već dobili zakrpe koje se mogu primijeniti na bilo koji uređaj.

Većina Android uređaja, uključujući sve novije uređaje, ima više tehnologija dizajniranih da otežaju eksploataciju. Android uređaji također uključuju aplikacijsko okruženje dizajnirano za zaštitu korisničkih podataka i drugih aplikacija na uređaju.

Što je s ažuriranjima kako bi se popravio Stagefright?

Trebat će nam ažuriranja sustava da bismo ovo uistinu popravili. U svom novom "Androidova sigurnosna grupa" u kolovozu 12 bilten, Google izdao "Nexusov sigurnosni bilten" detaljno opisujući stvari s njegova kraja. Postoje detalji o višestrukim CVE-ima (uobičajene ranjivosti i izloženosti), uključujući i kada su partneri obaviješteni (već 10. travnja, za jedan), koji grade popravke s Androidom (Android 5.1.1, build LMY48I) i bilo koje druge olakšavajuće čimbenike (spomenuta ASLR memorija shema).

Google je također rekao da je ažurirao svoje aplikacije Hangouts i Messenger kako se ne bi automatski obrađivati ​​video poruke u pozadini "tako da se mediji automatski ne prosljeđuju na medijski poslužitelj postupak."

Loša vijest je da većina ljudi mora pričekati da proizvođači i prijevoznici izbace ažuriranja sustava. Ali, opet - dok razgovaramo o nečemu poput 900 milijuna ranjivih telefona vani, mi također razgovaramo nula poznati slučajevi eksploatacije. To su prilično dobre šanse.

HTC je rekao da će ažuriranja od sad nadalje sadržavati ispravak. I CyanogenMod uključuje ih i sada.

Motorola kaže da su svi njezini telefoni trenutne generacije - od Moto E do najnovijeg Moto X-a (i svega između) bit će zakrpan, koji kod ide prijevoznicima od 10. kolovoza.

Dana kolovoza 5, Google je objavio nove slike sustava za Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 i Nexus 10. Google je također najavio da će objaviti mjesečna sigurnosna ažuriranja za Nexus liniju za liniju Nexus. (Drugi javno objavljen M Pregled čini se da je i gradnja već zakrpana.)

I premda eksploataciju Stagefright nije imenovao imenom, Googleov Adrian Ludwig ranije na Google+ već se bavio problemima i sigurnošću općenito, ponovno podsjećajući nas na višestruke slojeve koji ulaze u zaštitu korisnika. Piše:

Uobičajena je pogrešna pretpostavka da se bilo koja programska pogreška može pretvoriti u sigurnosnu eksploataciju. U stvari, većina programskih pogrešaka nije iskoristiva, a Android je učinio mnogo stvari da poboljša te izglede. Proveli smo posljednje 4 godine ulažući velika sredstva u tehnologije usredotočene na jednu vrstu grešaka - greške u oštećenju memorije - i pokušavajući ih otežati u iskorištavanju.

Više o tome kako to funkcionira pročitajte u našem Pitanja i odgovori o sigurnosti s Googleovim Ludwigom.

Aplikacije detektora za Stagefight

Zapravo ne vidimo svrhu korištenja aplikacije "detektor" kako bismo vidjeli je li vaš telefon ranjiv na Stagefright exploit. Ali ako morate, ima ih na raspolaganju.

  • Vidikovac Mobilni detektor scenskog straha
  • Zimperij detektor strahovitog straha

Jeste li slušali ovotjedni Android Central Podcast?

Android Central

Svaki tjedan Android Central Podcast donosi vam najnovije tehnološke vijesti, analize i popularne snimke, uz poznate suvoditelje i posebne goste.

  • Pretplatite se na Pocket Casts: Audio
  • Pretplatite se na Spotify: Audio
  • Pretplatite se na iTunes: Audio

Proviziju za kupnju možemo zaraditi putem naših poveznica. Saznajte više.

Ovo su najbolje bežične slušalice koje možete kupiti po svakoj cijeni!
Vrijeme je da presiječete kabel!

Ovo su najbolje bežične slušalice koje možete kupiti po svakoj cijeni!

Najbolje bežične slušalice su udobne, zvuče sjajno, ne koštaju previše i lako se stave u džep.

Sve što trebate znati o PS5: Datum izlaska, cijena i još mnogo toga
Iduća generacija

Sve što trebate znati o PS5: Datum izlaska, cijena i još mnogo toga.

Sony je službeno potvrdio da radi na PlayStationu 5. Evo svega što o tome zasad znamo.

Nokia lansira dva nova proračunska Android One telefona ispod 200 dolara
Nove Nokije

Nokia lansira dva nova proračunska Android One telefona ispod 200 dolara.

Nokia 2.4 i Nokia 3.4 najnoviji su dodaci proračunskoj liniji pametnih telefona tvrtke HMD Global. Budući da su oba Android One uređaja, zajamčeno će primati dva glavna ažuriranja OS-a i redovita sigurnosna ažuriranja do tri godine.

Ovo su najbolji bendovi za Fitbit Sense i Versa 3
Novo i poboljšano

Ovo su najbolji bendovi za Fitbit Sense i Versa 3.

Zajedno s izdanjem Fitbit Sense i Versa 3, tvrtka je također predstavila nove beskonačne bendove. Odabrali smo najbolje kako bismo vam olakšali posao.

instagram story viewer