Articolo

Exploit "Stagefright" per Android: cosa devi sapere

protection click fraud

Nel luglio 2015, la società di sicurezza Zimperium ha annunciato di aver scoperto un "unicorno" di una vulnerabilità all'interno del sistema operativo Android. Maggiori dettagli sono stati divulgati pubblicamente alla conferenza BlackHat all'inizio di agosto, ma non prima dei titoli dichiarando che quasi un miliardo di dispositivi Android potrebbero essere potenzialmente rilevati anche senza i loro utenti conoscendolo.

Allora, cos'è "Stagefright"? E devi preoccupartene?

Aggiorniamo continuamente questo post man mano che vengono rilasciate ulteriori informazioni. Ecco cosa sappiamo e cosa devi sapere.

Cos'è Stagefright?

"Stagefright" è il soprannome dato a un potenziale exploit che risiede abbastanza in profondità all'interno del sistema operativo Android stesso. Il succo è che un video inviato tramite MMS (messaggio di testo) potrebbe essere teoricamente utilizzato come via di attacco attraverso il libStageFright meccanismo (da cui il nome "Stagefright"), che aiuta Android a elaborare i file video. Molte app di messaggistica di testo - l'app Hangouts di Google è stata specificamente menzionata - elaborano automaticamente quel video così è pronto per la visualizzazione non appena apri il messaggio, e quindi l'attacco teoricamente potrebbe avvenire senza che tu lo sappia esso.

Verizon offre Pixel 4a per soli $ 10 / mese sulle nuove linee Unlimited

Perché libStageFright risale ad Android 2.2, centinaia di milioni di telefoni contengono questa libreria difettosa.

Ago. 17-18: rimangono gli exploit?

Proprio quando Google ha iniziato a lanciare aggiornamenti per la sua linea Nexus, l'azienda Exodus pubblicato un post sul blog dicendo sgarbatamente che almeno un exploit è rimasto senza patch, il che implica che Google ha sbagliato con il codice. Pubblicazione nel Regno Unito Il registro, in un pezzo scritto a balze, cita un ingegnere di Rapid7 che afferma che la prossima correzione arriverà con l'aggiornamento della sicurezza di settembre, parte del nuovo processo mensile di patch di sicurezza.

Google, da parte sua, deve ancora affrontare pubblicamente quest'ultima affermazione.

In assenza di ulteriori dettagli per questo, siamo inclini a credere che nel peggiore dei casi siamo tornati dove abbiamo iniziato - che ci sono difetti in libStageFight, ma che ci sono altri livelli di sicurezza che dovrebbero mitigare la possibilità che i dispositivi siano effettivamente sfruttato.

Un ago. 18. Trend Micro pubblicato un post sul blog su un altro difetto in libStageFright. Ha detto che non aveva prove di questo exploit effettivamente utilizzato, e che Google ha pubblicato la patch per Android Open Source Project in agosto. 1.

Nuovi dettagli su Stagefright a partire da agosto. 5

In concomitanza con la conferenza BlackHat a Las Vegas, durante la quale erano presenti maggiori dettagli sulla vulnerabilità Stagefright divulgato pubblicamente - Google ha affrontato la situazione in modo specifico, con l'ingegnere capo per la sicurezza Android Adrian Ludwig raccontare National Public Radio, Radio Pubblica che "attualmente, il 90% dei dispositivi Android ha una tecnologia chiamata ASLR abilitata, che protegge gli utenti dal problema".

Questo è molto in contrasto con la linea "900 milioni di dispositivi Android sono vulnerabili" che abbiamo letto tutti. Anche se non entreremo nel mezzo di una guerra di parole e pedanteria sui numeri, ciò che Ludwig stava dicendo è che i dispositivi con Android 4.0 o versioni successive - si tratta di circa il 95 percento di tutti i dispositivi attivi con i servizi Google: hanno una protezione integrata contro un attacco di overflow del buffer.

ASLR (UNddress Sritmo Layout Randomizzazione) è un metodo che impedisce a un utente malintenzionato di trovare in modo affidabile la funzione che desidera provare e sfruttare mediante la disposizione casuale degli spazi di indirizzo della memoria di un processo. ASLR è stato abilitato nel kernel Linux predefinito da giugno 2005 ed è stato aggiunto ad Android con la versione 4.0 (Panino gelato).

Che ne dici di un boccone?

Ciò significa che le aree chiave di un programma o servizio in esecuzione non vengono messe sempre nello stesso posto nella RAM. Mettere le cose in memoria a caso significa che qualsiasi utente malintenzionato deve indovinare dove cercare i dati che desidera sfruttare.

Questa non è una soluzione perfetta e, sebbene un meccanismo di protezione generale sia buono, abbiamo ancora bisogno di patch dirette contro gli exploit noti quando si verificano. Google, Samsung (1), (2) e Alcatel hanno annunciato una patch diretta per stagefright e Sony, HTC e LG affermano che rilasceranno patch di aggiornamento ad agosto.

Chi ha trovato questo exploit?

L'exploit è stato annunciato il 21 luglio dalla società di sicurezza mobile Zimperium come parte di un annuncio per la sua festa annuale alla conferenza BlackHat. Sì, avete letto bene. Questa "madre di tutte le vulnerabilità di Android", come dice Zimperium, era annunciato 21 luglio (una settimana prima che qualcuno decidesse di interessarsene, a quanto pare), e solo poche parole la bomba ancora più grande di "La sera del 6 agosto, Zimperium farà impazzire Scena della festa di Las Vegas! "E sai che sarà una follia perché è" la nostra festa annuale di Las Vegas per i nostri ninja preferiti ", completamente con un hashtag rock e qualunque cosa.

Quanto è diffuso questo exploit?

Ancora una volta, il numero di dispositivi con il difetto in libStageFright la libreria stessa è piuttosto enorme, perché è nel sistema operativo stesso. Ma come notato più volte da Google, esistono altri metodi che dovrebbero proteggere il tuo dispositivo. Considerala sicurezza a strati.

Quindi dovrei preoccuparmi di Stagefright o no?

La buona notizia è che il ricercatore che ha scoperto questo difetto in Stagefright "non crede che gli hacker in circolazione siano sfruttandola. "Quindi è una cosa molto brutta che a quanto pare nessuno sta effettivamente usando contro nessuno, almeno secondo questo persona. E, ancora una volta, Google dice che se stai utilizzando Android 4.0 o versioni successive, probabilmente starai bene.

Ciò non significa che non sia un cattivo potenziale exploit. È. E sottolinea ulteriormente le difficoltà di ottenere aggiornamenti inviati tramite il produttore e l'ecosistema del vettore. D'altra parte, è una potenziale via per l'exploit che apparentemente è in circolazione da Android 2.2, o fondamentalmente negli ultimi cinque anni. Questo ti rende una bomba a orologeria o una cisti benigna, a seconda del tuo punto di vista.

E da parte sua, Google nel mese di luglio ha ribadito Android Central che esistono più meccanismi in atto per proteggere gli utenti.

Ringraziamo Joshua Drake per i suoi contributi. La sicurezza degli utenti Android è estremamente importante per noi e quindi abbiamo risposto rapidamente e sono già state fornite patch ai partner che possono essere applicate a qualsiasi dispositivo.

La maggior parte dei dispositivi Android, inclusi tutti i dispositivi più recenti, dispone di più tecnologie progettate per rendere più difficile lo sfruttamento. I dispositivi Android includono anche un'applicazione sandbox progettata per proteggere i dati dell'utente e altre applicazioni sul dispositivo.

E gli aggiornamenti per correggere Stagefright?

Avremo bisogno di aggiornamenti di sistema per correggere veramente questo. Nella sua nuova "Android Security Group" in un ago. 12 bollettino, Google ha pubblicato un "bollettino sulla sicurezza del Nexus" dettagliare le cose dalla sua fine. Sono disponibili dettagli su più CVE (Common Vulnerabilities and Exposures), incluso il momento in cui i partner sono stati informati (già dal 10 aprile per uno), la cui build di Android presentava correzioni (Android 5.1.1, build LMY48I) e qualsiasi altro fattore attenuante (la suddetta memoria ASLR schema).

Google ha anche affermato di aver aggiornato le sue app Hangouts e Messenger in modo che non vengano automaticamente elaborare i messaggi video in background "in modo che i media non vengano passati automaticamente a mediaserver processi."

La cattiva notizia è che la maggior parte delle persone deve aspettare che i produttori e gli operatori dispongano di aggiornamenti di sistema. Ma, ancora una volta, mentre parliamo di qualcosa come 900 milioni di telefoni vulnerabili là fuori, stiamo anche parlando zero casi noti di sfruttamento. Quelle sono buone probabilità.

HTC ha detto che gli aggiornamenti da qui in avanti conterranno la correzione. E CyanogenMod li sta incorporando anche adesso.

Motorola afferma che tutti i suoi telefoni di attuale generazione, dal Moto E al nuovissimo Moto X (e tutto il resto) sarà patchato, quale codice verrà inviato agli operatori a partire dal 10 agosto.

Ad agosto. 5, Google ha rilasciato nuove immagini di sistema per Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 e Nexus 10. Google ha anche annunciato che verrà rilasciato aggiornamenti mensili di sicurezza per la linea Nexus per la linea Nexus. (Il secondo rilasciato pubblicamente Anteprima M. build sembra essere già patchato.)

E anche se non ha chiamato l'exploit Stagefright per nome, Adrian Ludwig di Google in precedenza su Google+ aveva già affrontato exploit e sicurezza in generale, ricordandoci ancora una volta i molteplici livelli che contribuiscono alla protezione degli utenti. Lui scrive:

C'è un presupposto comune e errato che qualsiasi bug del software possa essere trasformato in un exploit di sicurezza. In effetti, la maggior parte dei bug non è sfruttabile e Android ha fatto molte cose per migliorare quelle probabilità. Abbiamo trascorso gli ultimi 4 anni investendo molto in tecnologie incentrate su un tipo di bug - bug di danneggiamento della memoria - e cercando di rendere quei bug più difficili da sfruttare.

Per ulteriori informazioni su come funziona, leggi il nostro Domande e risposte sulla sicurezza con Ludwig di Google.

App rilevatore di stagefight

Non vediamo davvero il senso nell'usare un'app "rilevatore" per vedere se il tuo telefono è vulnerabile all'exploit Stagefright. Ma se devi, ce ne sono alcuni disponibili.

  • Lookout Mobile Stagefright Detector
  • Rilevatore di Zimperium Stagefright

Hai ascoltato il podcast Android Central di questa settimana?

Android Central

Ogni settimana, Android Central Podcast ti offre le ultime notizie tecnologiche, analisi e hot take, con co-host familiari e ospiti speciali.

  • Iscriviti in Pocket Casts: Audio
  • Iscriviti su Spotify: Audio
  • Iscriviti in iTunes: Audio

Potremmo guadagnare una commissione per gli acquisti utilizzando i nostri link. Per saperne di più.

Questi sono i migliori auricolari wireless che puoi acquistare ad ogni prezzo!
È ora di tagliare il cavo!

Questi sono i migliori auricolari wireless che puoi acquistare ad ogni prezzo!

I migliori auricolari wireless sono comodi, hanno un suono eccezionale, non costano troppo e stanno facilmente in tasca.

Tutto ciò che devi sapere sulla PS5: data di uscita, prezzo e altro ancora
Prossima generazione

Tutto ciò che devi sapere sulla PS5: data di uscita, prezzo e altro ancora.

Sony ha ufficialmente confermato che sta lavorando su PlayStation 5. Ecco tutto ciò che sappiamo finora.

Nokia lancia due nuovi telefoni Android One economici a meno di $ 200
Nuovi Nokias

Nokia lancia due nuovi telefoni Android One economici a meno di $ 200.

Nokia 2.4 e Nokia 3.4 sono le ultime aggiunte alla gamma di smartphone economici di HMD Global. Poiché sono entrambi dispositivi Android One, è garantito che riceveranno due principali aggiornamenti del sistema operativo e aggiornamenti di sicurezza regolari per un massimo di tre anni.

Queste sono le migliori band per Fitbit Sense e Versa 3
Nuovo e migliorato

Queste sono le migliori band per Fitbit Sense e Versa 3.

Insieme al rilascio di Fitbit Sense e Versa 3, la società ha anche introdotto nuove bande Infinity. Abbiamo scelto i migliori per semplificarti le cose.

instagram story viewer