Android „Stagefright” kihasználása: Amit tudnia kell

2015 júliusában a Zimperium biztonsági cég bejelentette, hogy felfedezett egy "egyszarvút" a sebezhetőségről az Android operációs rendszeren belül. További részletek nyilvánosságra kerültek az augusztus eleji BlackHat konferencián - de nem a címsorok előtt kijelentette, hogy csaknem egymilliárd Android-eszközt lehetne átvenni anélkül, hogy a felhasználóik akár tudván azt.

Mi tehát a "Stagefright"? És aggódnia kell miatta?

Folyamatosan frissítjük ezt a bejegyzést, mivel további információk jelennek meg. Itt van, amit tudunk, és amit tudnod kell.

Mi a Stagefright?

A "Stagefright" az a becenév, amelyet egy potenciális kizsákmányolásnak adnak, amely meglehetősen mélyen lakik magában az Android operációs rendszerben. A lényeg az, hogy az MMS-ben (szöveges üzenetben) elküldött videót elméletileg támadásként lehetne felhasználni a libStageFright mechanizmus (tehát a "Stagefright" név), amely segíti az Android videofájljainak feldolgozását. Számos szöveges üzenetküldő alkalmazás - a Google Hangouts alkalmazását külön megemlítették - automatikusan feldolgozza a videót készen áll a megtekintésre, amint kinyitja az üzenetet, és így a támadás elméletileg megtörténhet anélkül, hogy tudná azt.

Mivel libStageFright Android 2.2-re nyúlik vissza, telefonok százmilliói tartalmazzák ezt a hibás könyvtárat.

augusztus 17-18: Kihasználások maradnak?

Éppen akkor, amikor a Google elkezdte frissíteni Nexus vonalát, az Exodus céget blogbejegyzést tett közzé gátlástalanul mondván, hogy legalább egy kihasználatlanság maradt javítatlan, ami arra utal, hogy a Google elcseszte a kódot. Brit kiadvány A regisztráció, a pelyhesen megírt darab, a Rapid7 egyik mérnökét idézi, aki szerint a következő javítás szeptemberi biztonsági frissítéssel érkezik - ez az új havi biztonsági javítási folyamat része.

A Google a maga részéről még nem foglalkozott nyilvánosan ezzel a legújabb követeléssel.

További részletek hiányában hajlamosak vagyunk azt hinni, hogy rosszabb esetben ott vagyunk, ahol elkezdtük - hogy vannak hibákat a libStageFight-ban, de vannak más biztonsági rétegek is, amelyeknek enyhíteniük kell annak lehetőségét, hogy az eszközök valóban kihasználva.

Egy aug. 18. Trend Micro blogbejegyzést tett közzé a libStageFright újabb hibáján. Azt állította, hogy nincs bizonyítéka arra, hogy ezt a kizsákmányolást ténylegesen használják, és hogy a Google augusztusban közzétette az Android Open Source Project javítását. 1.

Új Stagefright részletek aug. 5

A Las Vegas-i BlackHat konferenciával együtt - amelyen a Stagefright sebezhetőségének további részletei voltak nyilvánosan nyilvánosságra került - a Google konkrétan foglalkozott a helyzettel, az Android biztonság vezető mérnökével, Adrian Ludwiggel sokatmondó NPR hogy "jelenleg az Android-eszközök 90 százaléka rendelkezik az ASLR nevű technológiával, amely megvédi a felhasználókat a problémától."

Ez nagyon ellentmond a mindannyiunk által olvasott "900 millió androidos eszköz sebezhető" sornak. Noha nem fogunk beszédháború és pedánsság közepette belemenni a számok miatt, Ludwig azt mondta, hogy az Android 4.0 vagy újabb rendszert futtató eszközök - ez az összes aktív eszköz körülbelül 95 százaléka a Google szolgáltatásaival - legyen védelme a beépített puffertúlcsordulás elleni támadással szemben.

ASLR (Aruha Sütemét Lsemmi Randomizálás) olyan módszer, amely megakadályozza a támadót abban, hogy megbízhatóan megtalálja azt a funkciót, amelyet ki akar próbálni kihasználni egy folyamat memória címtereinek véletlenszerű elrendezésével. Az ASLR az alapértelmezett Linux kernelben 2005 júniusa óta engedélyezve van, és 4.0-s verzióval (Jégkrémszendvics).

Hogy van ez egy falatnál?

Ez azt jelenti, hogy egy futó program vagy szolgáltatás kulcsfontosságú területei nem mindig kerülnek ugyanarra a helyre a RAM-ban. A dolgok véletlenszerű memóriába helyezése azt jelenti, hogy minden támadónak meg kell találnia, hol keresse meg a kihasználni kívánt adatokat.

Ez nem tökéletes megoldás, és bár egy általános védelmi mechanizmus jó, mégis szükségünk van közvetlen javításokra az ismert kihasználások ellen, amikor azok felmerülnek. A Google, a Samsung (1), (2) és az Alcatel bejelentett egy közvetlen javítást a stagefright számára, a Sony, a HTC és az LG szerint augusztusban fogják kiadni a frissítő javításokat.

Ki találta meg ezt a kihasználást?

A kihasználást a Zimperium mobilbiztonsági cég július 21-én jelentette be a BlackHat konferencián rendezett éves pártja bejelentésének részeként. Igen, jól olvastad. Ez a Zimperium fogalmazása szerint "az összes Android biztonsági résének anyja" volt bejelentett Július 21-e (egy héttel azelőtt, hogy bárki is úgy döntött volna, hogy törődik vele), és csak néhány szóval a még nagyobb bomba: "Augusztus 6-án este a Zimperium megingatja Vegas-parti jelenet! "És tudod, hogy ez egy ragabb lesz, mert" a mi kedvenc nindzsáink éves vegasi bulija ", egy rockin hashtaggel és minden.

Mennyire elterjedt ez a kizsákmányolás?

Ismét az eszközök hibája a libStageFright maga a könyvtár elég hatalmas, mert magában az operációs rendszerben van. De amint azt a Google számos alkalommal megjegyezte, vannak más módszerek is, amelyek védik az eszközét. Gondoljon rá, mint rétegenként biztonságra.

Szóval aggódnom kell a Stagefright miatt, vagy sem?

Jó hír, hogy a kutató, aki felfedezte ezt a hibát a Stagefright-ban, "nem hiszi, hogy a vadonban élő hackerek tehát nagyon rossz dolog, amit látszólag senki sem használ senki ellen, legalábbis ennek megfelelően személy. És még egyszer: a Google azt mondja, hogy ha Android 4.0 vagy újabb rendszert használ, akkor valószínűleg minden rendben lesz.

Ez nem azt jelenti, hogy ez nem rossz potenciális kiaknázás. Ez. És ez még inkább rávilágít a frissítések beszerzésének nehézségeire a gyártó és a szállító ökoszisztémáján keresztül. Másrészt ez egy potenciális kiaknázási lehetőség, amely nyilvánvalóan az Android 2.2 óta - vagy alapvetően az elmúlt öt év óta - létezik. Ez vagy ketyegő időzített bomba, vagy jóindulatú ciszta lesz, a nézőpontjától függően.

És a maga részéről a Google júliusban megismételte Android Central hogy a felhasználók védelmére több mechanizmus van érvényben.

Köszönjük Joshua Drake hozzájárulását. Az Android-felhasználók biztonsága rendkívül fontos számunkra, ezért gyorsan reagáltunk, és a javításokat már a partnerek rendelkezésére bocsátottuk, amelyek bármilyen eszközre alkalmazhatók.

A legtöbb Android-eszköz, beleértve az összes újabb eszközt is, több technológiával rendelkezik, amelyek a kihasználás megnehezítését szolgálják. Az Android készülékek tartalmaznak egy alkalmazás homokozót is, amelyet a felhasználói adatok és az eszköz egyéb alkalmazásainak védelmére terveztek.

Mi a helyzet a Stagefright javításának frissítéseivel?

Rendszerfrissítésekre lesz szükségünk, hogy ezt valóban javítsuk. Újjában "Android Security Group" egy aug. 12 közlemény, Google kiadott egy "Nexus biztonsági közleményt" a dolgok részletezése a végétől. Részletek vannak több CVE-ről (közös biztonsági rések és kitettségek), beleértve azt is, amikor a partnereket értesítették (már április 10-én az egyik), amely az Android beépített javításait tartalmazta (Android 5.1.1, LMY48I felépítése) és minden egyéb enyhítő tényezőt (a fent említett ASLR memória) rendszer).

A Google azt is közölte, hogy frissítette a Hangouts és a Messenger alkalmazásokat, hogy ne automatikusan videoüzeneteket dolgozzon fel a háttérben ", hogy a média ne kerüljön automatikusan a mediaserverhez folyamat."

A rossz hír az, hogy a legtöbb embernek meg kell várnia a gyártókat és a szolgáltatókat a rendszerfrissítések kihúzására. De még egyszer - miközben valami 900 millió sebezhető telefonról beszélünk odakint, mi is beszélünk nulla ismert kizsákmányolási esetek. Ezek nagyon jó esélyek.

A HTC szerint az innentől kezdődő frissítések tartalmazzák a javítást. És a CyanogenMod beépíti őket most is.

A Motorola szerint minden jelenlegi generációs telefonja - a Moto E-től a legújabb Moto X-ig (és minden, ami közte van) foltozni fogják, amely kód augusztus 10-től indul a fuvarozók számára.

Aug. 5, a Google új rendszerképeket adott ki a Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 és Nexus 10 rendszerekhez. A Google azt is bejelentette, hogy kiadja havi biztonsági frissítések a Nexus vonalon a Nexus vonalon. (A második nyilvánosan kiadott M Előnézet úgy tűnik, hogy már javítva is van.)

És bár a Stagefright kizsákmányolást nem nevén nevezte el, a Google Adrian Ludwig korábban a Google+ már foglalkozott a kihasználásokkal és általában a biztonsággal, ismét emlékeztetve a felhasználókat védő több rétegre. Ír:

Általános, téves feltételezés szerint bármely szoftverhiba biztonsági kihasználássá alakítható. Valójában a legtöbb hiba nem aknázható ki, és sok mindent megtett az Android ezen esélyek javítása érdekében. Az elmúlt 4 évben nagy összegeket fektettünk olyan technológiákba, amelyek az egyik típusú hibára - a memóriasérülés hibáira - összpontosítottak, és megpróbáltuk ezeket a hibákat nehezebben kihasználni.

További információ arról, hogy ez hogyan működik, olvassa el a mi oldalunkat Kérdések és válaszok a biztonságról a Google Ludwigjával.

Stagefight detektor alkalmazások

Nem igazán látjuk értelmét egy "detektor" alkalmazás használatának, hogy megtudjuk, a telefonja sebezhető-e a Stagefright kihasználásának. De ha muszáj, vannak ilyenek.

• Lookout mobil Stagefright detektor
• Zimperium Stagefright detektor