„Android“ „Stagefright“ išnaudojimas: ką reikia žinoti

2015 m. Liepos mėn. Saugos bendrovė „Zimperium“ paskelbė atradusi „vienaragį“ pažeidžiamumą „Android“ operacinės sistemos viduje. Daugiau informacijos buvo viešai paskelbta „BlackHat“ konferencijoje rugpjūčio pradžioje, bet ne prieš antraštes pareiškė, kad beveik milijardą „Android“ įrenginių gali būti perimta net jų vartotojams tai žinodamas.

Taigi, kas yra „Stagefright“? Ir ar jums reikia dėl to jaudintis?

Mes nuolat atnaujiname šį įrašą, kai išleidžiama daugiau informacijos. Štai ką mes žinome ir ką turite žinoti.

Kas yra „Stagefright“?

„Stagefright“ yra slapyvardis, suteiktas potencialiam išnaudojimui, gyvenančiam gana giliai pačios „Android“ operacinės sistemos viduje. Esmė ta, kad MMS (teksto žinute) atsiųstas vaizdo įrašas teoriškai gali būti naudojamas kaip užpuolimo kelias per libStageFright mechanizmas (taigi „Stagefright“ pavadinimas), kuris padeda „Android“ apdoroti vaizdo failus. Daugelis teksto pranešimų programų - specialiai paminėta „Google“ „Hangout“ programa - automatiškai apdoroja tą vaizdo įrašą pasirengusi peržiūrėti, kai tik atidarysite pranešimą, taigi ataka teoriškai gali įvykti jums net nežinant tai.

Nes libStageFright datuojamas 2.2 versijos „Android“, šimtai milijonų telefonų turi šią ydingą biblioteką.

Rugpjūčio mėn. 17-18: Išlieka išnaudojimai?

Kaip tik „Google“ pradėjo diegti „Nexus“ linijos „Exodus“ firmos naujinius paskelbė tinklaraščio įrašą niūriai sakydamas, kad bent vienas išnaudojimas liko nepataisytas, tai reiškia, kad „Google“ sugalvojo kodą. JK leidinys Registras, a švelniai parašytas kūrinys, cituoja inžinierius iš „Rapid7“, sakydamas, kad kitas pataisymas bus pateiktas rugsėjo mėnesio saugos atnaujinime - naujo mėnesinio saugumo pataisymo proceso dalimi.

Savo ruožtu „Google“ dar neturi viešai kreiptis į šią naujausią pretenziją.

Nesant daugiau informacijos apie šį, mes linkę manyti, kad blogiausiu atveju grįžome ten, kur pradėjome - kad yra „libStageFight“ trūkumų, tačiau yra ir kitų saugumo sluoksnių, kurie turėtų sušvelninti galimybę, kad prietaisai iš tikrųjų bus išnaudojamas.

Vieną rugpjūtį 18. „Trend Micro“ paskelbė tinklaraščio įrašą dėl kito „libStageFright“ trūkumo. Ji teigė neturinti įrodymų, kad šis išnaudojimas iš tikrųjų buvo naudojamas, ir kad „Google“ rugpjūčio mėn. paskelbė „Android Open Source“ projekto pataisą. 1.

Nauja „Stagefright“ informacija nuo rugpjūčio mėn. 5

Kartu su „BlackHat“ konferencija Las Vegase, kurioje buvo pateikta daugiau informacijos apie „Stagefright“ pažeidžiamumą viešai atskleista - „Google“ konkrečiai sprendė šią situaciją su pagrindiniu „Android“ saugumo inžinieriumi Adrianu Ludwigu pasakojantis NPR kad „šiuo metu 90 procentų„ Android “įrenginių turi įjungtą technologiją, vadinamą ASLR, kuri apsaugo vartotojus nuo šios problemos“.

Tai labai prieštarauja mūsų visų skaitytai eilutei „900 milijonų„ Android “įrenginių yra pažeidžiami“. Nors mes nesiversime į karą dėl žodžių ir pedantiškumo dėl skaičių, Ludwigas sakė, kad įrenginiai, kuriuose veikia 4.0 ar naujesnės versijos „Android“ - tai yra apie 95 procentai visų aktyvių įrenginių su „Google“ paslaugomis - turite apsaugą nuo buferio perpildymo atakos.

ASLR (Asuknelė Stempu Lnieko Randomization) yra metodas, neleidžiantis užpuolikui patikimai rasti funkcijos, kurią jis nori išbandyti, atsitiktinai išdėstydamas proceso atminties adresų erdves. ASLR buvo įgalintas numatytajame „Linux“ branduolyje nuo 2005 m. Birželio mėn. Ir buvo įtrauktas į „Android“ su 4.0 versija (Ledų sumuštinis).

Kaip gurkšnis?

Tai reiškia, kad pagrindinės vykdomos programos ar paslaugos sritys kiekvieną kartą nėra dedamos į tą pačią RAM vietą. Atsitiktinai įdėjus daiktus į atmintį, bet kuris užpuolikas turi atspėti, kur ieškoti duomenų, kuriuos nori naudoti.

Tai nėra tobulas sprendimas, ir nors bendras apsaugos mechanizmas yra geras, mums vis tiek reikia tiesioginių pleistrų nuo žinomų išnaudojimų, kai jie atsiranda. „Google“, „Samsung“ (1), (2) ir „Alcatel“ paskelbė apie tiesioginį „scenfright“ pleistrą, o „Sony“, HTC ir LG teigia, kad rugpjūčio mėnesį išleis atnaujinimo pataisas.

Kas rado šį išnaudojimą?

Apie išnaudojimą mobiliojo saugumo įmonė „Zimperium“ paskelbė liepos 21 dieną kaip dalį savo metinio vakarėlio „BlackHat“ konferencijoje pranešimo. Taip, jūs teisingai perskaitėte. Ši „visų„ Android “pažeidžiamumų motina“, kaip sako „Zimperium“, buvo paskelbė Liepos 21 d. (Likus savaitei, kol kas nors nusprendė pasirūpinti, matyt), ir tik keliais žodžiais dar didesnė bomba „Rugpjūčio 6 d. Vakare Zimperium sukels Vegaso vakarėlių scena! "Ir jūs žinote, kad tai bus šmaikštesnė, nes tai yra" mūsų kasmetinis Vegaso vakarėlis, skirtas mūsų mėgstamiausioms nindzėms ", visiškai su rokino grotažyme ir viskas.

Kaip plačiai paplitęs šis išnaudojimas?

Vėlgi, prietaisų, turinčių trūkumų, skaičius libStageFright pati biblioteka yra gana didžiulė, nes ji yra pačioje OS. Tačiau, kaip „Google“ pastebėjo keletą kartų, yra kitų būdų, kurie turėtų apsaugoti jūsų įrenginį. Pagalvokite apie tai kaip apie saugumą sluoksniais.

Taigi ar turėčiau jaudintis dėl „Stagefright“, ar ne?

Gera žinia ta, kad tyrėjas, atradęs šį „Stagefright“ trūkumą, „netiki, kad įsilaužėliai lauke yra ją išnaudoti. "Taigi labai blogas dalykas, kurio, matyt, niekas iš tikrųjų nenaudoja prieš nieką, bent jau pagal šį asmuo. Vėlgi, „Google“ sako, kad jei naudojate „Android 4.0“ ar naujesnę versiją, tikriausiai viskas bus gerai.

Tai nereiškia, kad tai nėra blogas potencialus išnaudojimas. Tai yra. Tai dar labiau pabrėžia sunkumus, susijusius su naujinimų išstūmimu per gamintojo ir vežėjo ekosistemą. Kita vertus, tai yra potencialus išnaudojimo būdas, kuris, matyt, egzistuoja nuo „Android 2.2“ arba iš esmės per pastaruosius penkerius metus. Tai arba padaro tiksinčią bombą, arba gerybinę cistą, atsižvelgiant į jūsų požiūrį.

Savo ruožtu „Google“ liepą pakartojo „Android Central“ kad yra keli vartotojų apsaugos mechanizmai.

Dėkojame Joshua Drake'ui už indėlį. „Android“ vartotojų saugumas mums yra nepaprastai svarbus, todėl mes greitai reagavome ir partneriams jau buvo pateikti lopai, kuriuos galima pritaikyti bet kuriame įrenginyje.

Daugumoje „Android“ įrenginių, įskaitant visus naujesnius įrenginius, yra kelios technologijos, sukurtos apsunkinti jų naudojimą. „Android“ įrenginiuose taip pat yra programų smėlio dėžė, skirta apsaugoti vartotojo duomenis ir kitas įrenginio programas.

Ką apie „Stagefright“ pataisymus?

Mums reikės sistemos atnaujinimų, kad galėtume tai ištaisyti. Savo naujajame „Android Security Group“ rugpjūčio mėn. 12 biuletenis, „Google“ išleido „Nexus“ saugos biuletenį detalizuoti dalykus nuo jo pabaigos. Yra išsami informacija apie daugelį CVE (bendros pažeidžiamumo ir rizikos), įskaitant tai, kada partneriams buvo pranešta (jau balandžio 10 d.) vienas), kuris sukuria „Android“ pataisymus („Android 5.1.1“, „LMY48I build“) ir visus kitus lengvinančius veiksnius (minėta ASLR atmintis) schema).

„Google“ taip pat teigė atnaujinusi „Hangout“ ir „Messenger“ programas, kad jos nebūtų automatiškai apdoroti vaizdo pranešimus fone ", kad laikmena nebūtų automatiškai perduodama mediaserveriui procesas “.

Bloga žinia ta, kad dauguma žmonių turi laukti, kol gamintojai ir vežėjai išstums sistemos naujinius. Bet vėlgi - nors mes kalbame apie 900 milijonų pažeidžiamų telefonų, mes taip pat kalbame nulis žinomi išnaudojimo atvejai. Tai yra gana geri šansai.

„HTC“ teigė, kad pataisymai bus pateikti čia. Ir „CyanogenMod“ įtraukia juos ir dabar.

„Motorola“ teigia, kad visi dabartinės kartos telefonai - nuo „Moto E“ iki naujausio „Moto X“ (ir visko, kas yra tarp jų) bus pataisytas, kuris kodas bus vežėjams nuo rugpjūčio 10 d.

Rugpjūčio mėn. 5, „Google“ išleido naujus „Nexus 4“, „Nexus 5“, „Nexus 6“, „Nexus 7“, „Nexus 9“ ir „Nexus 10“ sistemos vaizdus. „Google“ taip pat paskelbė, kad išleis mėnesiniai „Nexus“ linijos saugos atnaujinimai „Nexus“ linijai. (Antrasis viešai išleistas M peržiūra atrodo, kad jau yra pataisyta.)

Ir nors jis neįvardijo „Stagefright“ išnaudojimo vardu, „Google“ Adrianas Ludwigas anksčiau „Google+“ jau nagrinėjo išnaudojimus ir saugumą apskritai, dar kartą primindamas mums kelis sluoksnius, kurie apsaugo vartotojus. Jis rašo:

Yra įprasta, klaidinga prielaida, kad bet kurią programinės įrangos klaidą galima paversti saugumo išnaudojimu. Tiesą sakant, dauguma klaidų nėra išnaudojamos, ir yra daugybė dalykų, kuriuos „Android“ padarė, kad pagerintų šias galimybes. Mes praleidome pastaruosius 4 metus daug investuodami į technologijas, orientuotas į vieno tipo klaidas - atminties sugadinimo klaidas - ir stengėmės šias klaidas sunkiau išnaudoti.

Norėdami sužinoti daugiau, kaip tai veikia, skaitykite mūsų Klausimai ir atsakymai dėl saugumo naudojant „Google“ Ludwigą.

„Stagefight“ detektoriaus programos

Mes tikrai nematome prasmės naudoti „detektoriaus“ programą norėdami sužinoti, ar jūsų telefonas yra pažeidžiamas „Stagefright“ išnaudojimo. Bet jei turite, yra keletas.

• „Lookout Mobile Stagefright Detector“
• „Zimperium Stagefright Detector“