Využitie systému Android „Stagefright“: Čo potrebujete vedieť

V júli 2015 bezpečnostná spoločnosť Zimperium oznámila, že vo vnútri operačného systému Android objavila „jednorožca“ zraniteľnosti. Ďalšie podrobnosti boli zverejnené na konferencii BlackHat začiatkom augusta - nie však pred titulkami vyhlasuje, že takmer miliarda zariadení s Androidom by mohla byť potenciálne prevzatá bez toho, aby ich používatelia boli vyrovnaní vediac to.

Čo je teda „Stagefright“? A treba si s tým robiť starosti?

Tento príspevok priebežne aktualizujeme, pretože sú zverejňované ďalšie informácie. Tu je to, čo vieme, a to, čo potrebujete vedieť.

Čo je Stagefright?

„Stagefright“ je prezývka potenciálneho exploitu, ktorý žije pomerne hlboko v samotnom operačnom systéme Android. Podstatou je, že video odoslané prostredníctvom MMS (textovej správy) by sa mohlo teoreticky použiť ako cesta útoku cez libStageFright mechanizmus (teda názov „Stagefright“), ktorý pomáha systému Android spracovávať video súbory. Mnoho aplikácií na odosielanie textových správ - konkrétne bola spomenutá aplikácia Google Hangouts - dané video automaticky spracuje tak, aby bolo pripravený na prezeranie hneď po otvorení správy, a tak by k útoku teoreticky mohlo dôjsť aj bez toho, aby ste o tom vedeli to.

Pretože libStageFright sa datuje k Androidu 2.2, túto chybnú knižnicu obsahujú stovky miliónov telefónov.

Aug. 17-18: Exploity zostávajú?

Rovnako ako spoločnosť Google začala zavádzať aktualizácie pre svoju sériu Nexus, firmu Exodus zverejnil príspevok na blogu výrečne tvrdil, že najmenej jeden exploit zostal neopravený, čo naznačuje, že Google kód pokazil. UK publikácia Register, v flouncily napísaný kus, cituje inžiniera z Rapid7, podľa ktorého ďalšia oprava príde v septembrovej aktualizácii zabezpečenia - súčasť nového procesu mesačného zabezpečenia zabezpečenia.

Pokiaľ ide o spoločnosť Google, tento posledný nárok zatiaľ musí verejne vyriešiť.

Pri nedostatku ďalších podrobností o tomto sa prikláňame k názoru, že v horšom prípade sme späť tam, kde sme začali - že existujú chyby v libStageFight, ale že existujú ďalšie vrstvy zabezpečenia, ktoré by mali zmierniť možnosť, že zariadenia skutočne budú vykorisťovaný.

Jeden aug. 18. Trend Micro zverejnil príspevok na blogu na ďalšej chybe v libStageFright. Uviedlo, že nemá dôkazy o tom, že by sa tento exploit skutočne používal, ani to, že by išlo o Google zverejnil opravu projektu Android Open Source v auguste. 1.

Nové podrobnosti Stagefright od augusta 5

V súvislosti s konferenciou BlackHat v Las Vegas - na ktorej boli ďalšie podrobnosti o zraniteľnosti Stagefright verejne zverejnené - spoločnosť Google sa touto situáciou zaoberala konkrétne, s vedúcim inžinierom pre bezpečnosť systému Android Adrianom Ludwigom rozprávanie NPR že „v súčasnosti má 90 percent zariadení s Androidom povolenú technológiu nazvanú ASLR, ktorá chráni používateľov pred týmto problémom.“

To je veľmi v rozpore s riadkom „900 miliónov zariadení so systémom Android je zraniteľných“, ktorý sme si všetci prečítali. Aj keď sa nebudeme dostávať do vojny slov a pedantstva nad týmito číslami, Ludwig hovoril, že zariadenia so systémom Android 4.0 alebo vyšším - to je asi 95 percent všetkých aktívnych zariadení so službami Google - mať zabudovanú ochranu pred útokom pretečenia medzipamäte.

ASLR (Aadresa Stempo Ľayout Randomizácia) je metóda, ktorá útočníkovi zabráni v spoľahlivom nájdení funkcie, ktorú chce vyskúšať a využiť náhodným usporiadaním pamäťových adresných priestorov procesu. ASLR je v predvolenom jadre systému Linux povolený od júna 2005 a do systému Android bol pridaný vo verzii 4.0 (Ruská zmrzlina).

Ako je to so sústom?

Znamená to, že kľúčové oblasti spusteného programu alebo služby nie sú v pamäti RAM vždy uložené na rovnakom mieste. Náhodné ukladanie vecí do pamäti znamená, že každý útočník musí uhádnuť, kde hľadať dáta, ktoré chce využiť.

Toto nie je dokonalá oprava a hoci je všeobecný ochranný mechanizmus dobrý, stále potrebujeme priame opravy proti známym zneužitiam, keď k nim dôjde. Google, Samsung (1), (2) a Alcatel oznámili priamy patch pre stagefright a Sony, HTC a LG tvrdia, že vydajú aktualizačné opravy v auguste.

Kto našiel toto zneužitie?

Využitie oznámila 21. júla mobilná bezpečnostná firma Zimperium ako súčasť oznámenia o svojej výročnej párty na konferencii BlackHat. Áno, čítate správne. Táto „Matka všetkých zraniteľností systému Android“, ako sa vyjadruje Zimperium, bola oznámil 21. júla (zjavne týždeň predtým, ako sa ktokoľvek rozhodol starať), a len pár slov, ešte väčšia bomba „Na večer 6. augusta zahrá Zimperium Scéna na večierku vo Vegas! “A viete, že to bude na škodu, pretože je to„ náš každoročný večierok vo Vegas pre našich obľúbených ninjov “, úplne s rockovým hashtagom všetko.

Nakoľko je toto využitie rozšírené?

Opäť počet zariadení s chybou v libStageFright samotná knižnica je dosť veľká, pretože je v samotnom OS. Ako však spoločnosť Google niekoľkokrát poznamenala, existujú iné spôsoby ochrany vášho zariadenia. Predstavte si to ako zabezpečenie vo vrstvách.

Mám si teda robiť starosti so Stagefrightom alebo nie?

Dobrá správa je, že výskumník, ktorý objavil túto chybu v Stagefright „neverí, že hackeri vo voľnej prírode sú využiť to. “Takže je to veľmi zlá vec, ktorú zjavne nikto v skutočnosti proti nikomu nepoužíva, aspoň podľa tohto osoba. Google opäť hovorí, že ak používate Android 4.0 alebo novší, pravdepodobne budete v poriadku.

To neznamená, že nejde o zlé potenciálne zneužitie. To je. A ďalej zdôrazňuje ťažkosti s presadením aktualizácií cez ekosystém výrobcu a operátora. Na druhej strane je to potenciálna cesta k exploitácii, ktorá zjavne existuje od Androidu 2.2 - alebo v podstate za posledných päť rokov. To z vás buď urobí tikajúcu časovanú bombu, alebo benígnu cystu, podľa vášho uhla pohľadu.

Pokiaľ ide o Google, v júli to zopakoval Android Central že existuje viac mechanizmov na ochranu používateľov.

Ďakujeme Joshuovi Drakeovi za jeho príspevky. Bezpečnosť používateľov systému Android je pre nás nesmierne dôležitá, a preto sme reagovali rýchlo a partnerom už boli poskytnuté opravy, ktoré je možné aplikovať na akékoľvek zariadenie.

Väčšina zariadení so systémom Android, vrátane všetkých novších zariadení, má niekoľko technológií, ktoré sú navrhnuté tak, aby sťažovali využívanie. Zariadenia so systémom Android obsahujú aj karanténu aplikácií určenú na ochranu údajov používateľa a ďalších aplikácií v zariadení.

Čo aktualizácie, ktoré opravia Stagefright?

Aby sme to skutočne napravili, budeme potrebovať aktualizácie systému. Vo svojom novom „Android Security Group“ v aug. Bulletin 12, Google vydal „bulletin zabezpečenia Nexus“ podrobne opisujúce veci od jej konca. Existujú podrobnosti o viacerých CVE (Bežné chyby a expozície), vrátane informácií o tom, kedy boli partneri informovaní (už 10. apríla, pre jedna), ktorá obsahuje opravy podporované systémom Android (Android 5.1.1, zostavenie LMY48I) a ďalšie ďalšie zmierňujúce faktory (vyššie uvedená pamäť ASLR) schéma).

Google tiež uviedol, že aktualizoval svoje aplikácie Hangouts a Messenger tak, aby sa nerobili automaticky spracovávať video správy na pozadí "tak, aby sa médiá automaticky neposielali na server médií proces. ““

Zlou správou je, že väčšina ľudí musí čakať na výrobcov a dopravcov, aby vytlačili aktualizácie systému. Ale opäť - keď už hovoríme o 900 miliónoch zraniteľných telefónov, hovoríme aj o nich nula známe prípady vykorisťovania. To sú celkom dobré šance.

Spoločnosť HTC uviedla, že aktualizácie od tejto chvíle budú opravu obsahovať. A CyanogenMod ich začleňuje tiež teraz.

Spoločnosť Motorola uvádza všetky svoje telefóny súčasnej generácie - od Moto E až po najnovšie Moto X (a všetko medzi tým) budú opravené, ktorý kód sa dostane k dopravcom od 10. augusta.

Aug. 5, Google vydal nové systémové obrázky pre Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 a Nexus 10. Google taktiež oznámil, že vydá mesačné bezpečnostné aktualizácie pre linku Nexus pre linku Nexus. (Druhý verejne zverejnený M Náhľad Zdá sa, že zostava už je tiež opravená.)

A hoci exploit Stagefright nepomenoval menom, Adrianom Ludwigom z Googlu predtým na Google+ už riešil zneužitie a bezpečnosť všeobecne, opäť nám pripomína niekoľko vrstiev, ktoré vstupujú do ochrany používateľov. On píše:

Existuje bežný mylný predpoklad, že z akejkoľvek chyby softvéru sa dá urobiť bezpečnostný exploit. V skutočnosti väčšina chýb nie je využiteľná a existuje veľa vecí, ktoré Android urobil pre zlepšenie týchto šancí. Posledné 4 roky sme strávili rozsiahlymi investíciami do technológií zameraných na jeden typ chyby - chyby poškodenia pamäte - a snažili sme sa sťažiť ich zneužitie.

Viac informácií o tom, ako to funguje, nájdete v našom Otázky a odpovede o bezpečnosti s Ludwigom od spoločnosti Google.

Aplikácie detektorov scénického boja

Používanie aplikácie „detektor“ na zistenie, či je váš telefón zraniteľný voči zneužitiu Stagefright, v skutočnosti nevidí zmysel. Ale ak musíte, niektoré sú k dispozícii.

• Lookout Mobile Stagefright Detector
• Detektor Zimperium Stagefright