Cuprins:
- Ce este Stagefright?
- 17-18 august: Exploitele rămân?
- Noi detalii pe scena începând cu 5 august
- Cine a găsit această exploatare?
- Cât de răspândită este această exploatare?
- Deci ar trebui să-mi fac griji pentru Stagefright sau nu?
- Ce zici de actualizări pentru a remedia Stagefright?
În iulie 2015, compania de securitate Zimperium a anunțat că a descoperit un „unicorn” al unei vulnerabilități în sistemul de operare Android. Mai multe detalii au fost dezvăluite public la conferința BlackHat la începutul lunii august - dar nu înainte de titlurile care declară că aproape un miliard de dispozitive Android ar putea fi preluate fără ca utilizatorii lor să știe măcar.
Deci, ce este „Stagefright”? Și trebuie să vă faceți griji pentru asta?
Actualizăm continuu această postare pe măsură ce sunt lansate mai multe informații. Iată ce știm și ce trebuie să știți.
Ce este Stagefright?
„Stagefright” este porecla dată unui potențial exploat care trăiește destul de adânc în interiorul sistemului de operare Android în sine. Concluzia este că un videoclip trimis prin MMS (mesaj text) ar putea fi teoretic folosit ca cale de atac prin mecanismul libStageFright (deci numele „Stagefright”), care ajută procesarea fișierelor video Android. Multe aplicații de mesagerie text - aplicația Hangouts Google a fost menționată în mod special - prelucrează automat acel videoclip, astfel încât să fie gata pentru vizualizare imediat ce deschideți mesajul și, astfel, teoretic, atacul s-ar putea întâmpla fără ca voi să știți măcar.
Deoarece libStageFright datează de pe Android 2.2, sute de milioane de telefoane conțin această bibliotecă defectuoasă.
17-18 august: Exploitele rămân?
Așa cum Google a început să difuzeze actualizări pentru linia sa Nexus, firma Exodus a publicat o postare pe blog spunând că cel puțin o exploatare a rămas neatribuită, ceea ce presupune că Google a înșurubat codul. Publicația din Marea Britanie Registrul, într-o piesă scrisă în mod fluenț, citează un inginer de la Rapid7, spunând că următoarea corecție va veni în actualizarea de securitate din septembrie - parte a noului proces lunar de corecție a securității.
Google, la rândul său, nu a soluționat public această ultimă reclamație.
În absența altor detalii pentru aceasta, suntem înclinați să credem că, în rău, ne întoarcem de unde am început - că există defecte în libStageFight, dar există alte straturi de securitate care ar trebui să diminueze posibilitatea dispozitivelor. de fapt fiind exploatat.
Unul din 18 august. Trend Micro a publicat o postare pe blog despre un alt defect în libStageFright. Acesta a spus că nu are nicio dovadă a faptului că această exploatare a fost folosită și că Google a publicat corecția pentru Proiectul Open Source pentru Android la 1 august.
Noi detalii pe scena începând cu 5 august
În colaborare cu conferința BlackHat de la Las Vegas - la care au fost dezvăluite public mai multe detalii despre vulnerabilitatea Stagefright - Google a abordat situația în mod special, inginerul principal pentru securitatea Android Adrian Ludwig spunând NPR că „în prezent, 90% din dispozitivele Android au o tehnologie. numit activat ASLR, care protejează utilizatorii împotriva problemei."
Aceasta este în contradicție cu linia „900 de milioane de dispozitive Android care sunt vulnerabile” pe care le-am citit cu toții. Deși nu vom intra în mijlocul unui război de cuvinte și pedanterie peste numere, ceea ce Ludwig spunea este că dispozitivele care rulează Android 4.0 sau o versiune ulterioară - adică aproximativ 95 la sută din toate dispozitivele active cu servicii Google - au protecție împotriva un atac de preaplin tampon încorporat.
ASLR (A ddress S pace L ayout R andomization) este o metodă care împiedică atacatorul să găsească în mod fiabil funcția pe care dorește să o încerce și să o exploateze prin aranjarea aleatorie a spațiilor de adrese ale memoriei unui proces. ASLR a fost activat în Kernel Linux implicit din iunie 2005 și a fost adăugat pe Android cu versiunea 4.0 (Ice Cream Sandwich).
Cum e pentru o gură?
Ce înseamnă că zonele cheie ale unui program sau serviciu care rulează nu sunt puse în același loc în memoria RAM de fiecare dată. A pune lucrurile în memorie la întâmplare înseamnă că orice atacator trebuie să ghicească unde să caute datele pe care doresc să le exploateze.
Aceasta nu este o soluție perfectă și, în timp ce un mecanism de protecție generală este bun, încă avem nevoie de corecții directe împotriva exploatării cunoscute atunci când apar. Google, Samsung (1), (2) și Alcatel au anunțat o corecție directă pentru scenfright, iar Sony, HTC și LG spun că vor lansa patch-uri de actualizare în august.
Cine a găsit această exploatare?
Exploitarea a fost anunțată pe 21 iulie de către firma de securitate mobilă Zimperium, ca parte a unui anunț pentru petrecerea sa anuală la conferința BlackHat. Da, ai citit asta. Această „mamă a tuturor vulnerabilităților cu Android”, așa cum o spune Zimperium, a fost anunțată pe 21 iulie (cu o săptămână înainte ca cineva să decidă să-i pese, aparent) și doar câteva cuvinte, chiar și mai mare bombă din „În seara zilei de 6 august, Zimperium va rock scena petrecerii din Vegas! " Și știi că va fi un rager, pentru că este „petrecerea noastră anuală din Vegas pentru ninja noastră preferată”, complet cu un hashtag rockin și tot.
Cât de răspândită este această exploatare?
Din nou, numărul de dispozitive cu defect în biblioteca libStageFright în sine este destul de mare, deoarece este în sistemul de operare în sine. Dar, după cum a menționat de mai multe ori Google, există alte metode în vigoare care ar trebui să vă protejeze dispozitivul. Gândiți-vă la aceasta ca la securitate în straturi.
Deci ar trebui să-mi fac griji pentru Stagefright sau nu?
Vestea bună este că cercetătorul care a descoperit acest defect în Stagefright „nu crede că hackerii în sălbăticie îl exploatează”. Așadar, este un lucru foarte rău pe care, se pare, nimeni nu-l folosește de fapt împotriva nimănui, cel puțin potrivit acestei persoane. Și, din nou, Google spune că dacă utilizați Android 4.0 sau versiuni superioare, probabil că veți fi în regulă.
Asta nu înseamnă că nu este o exploatare potențială proastă. Este. Și subliniază în continuare dificultățile de a primi actualizări prin intermediul ecosistemului producător și operator. Pe de altă parte, este un potențial mijloc de exploatare care se pare că a existat de la Android 2.2 - sau practic în ultimii cinci ani. Acest lucru vă face o bombă de timp marcând, sau un chist benign, în funcție de punctul dvs. de vedere.
Și, la rândul său, Google în iulie a reiterat pentru Android Central că există mai multe mecanisme pentru protejarea utilizatorilor.
Mulțumim lui Joshua Drake pentru contribuțiile sale. Securitatea utilizatorilor de Android este extrem de importantă pentru noi, așa că am răspuns rapid, iar partenerii au fost deja furnizați partenerilor care pot fi aplicați pe orice dispozitiv.
Majoritatea dispozitivelor Android, inclusiv toate dispozitivele mai noi, au mai multe tehnologii care sunt concepute pentru a îngreuna exploatarea. Dispozitivele Android includ, de asemenea, o aplicație sandbox destinată să protejeze datele utilizatorului și alte aplicații de pe dispozitiv.
Ce zici de actualizări pentru a remedia Stagefright?
Va trebui să avem nevoie de actualizări de sistem pentru a corela cu adevărat acest lucru. În noul său „Android Security Group” într-un buletin din 12 august, Google a emis un „Buletin de securitate Nexus” în care detaliază lucrurile de la sfârșitul său. Există detalii despre mai multe CVE-uri (vulnerabilități și expuneri comune), inclusiv atunci când partenerii au fost notificați (încă din 10 aprilie, pentru unul), care constau din corecții cu Android (Android 5.1.1, build LMY48I) și orice alți factori atenuatori (schema de memorie ASLR menționată anterior).
De asemenea, Google a spus că și-a actualizat aplicațiile pentru Hangouts și Messenger, astfel încât acestea să nu prelucreze automat mesajele video în fundal "astfel încât media să nu fie trecută automat la procesul de mediaserver".
Vestea proastă este că majoritatea oamenilor fac să fie nevoiți să aștepte producătorii și operatorii de transport pentru a face actualizări ale sistemului. Dar, din nou - în timp ce vorbim ceva de 900 de telefoane vulnerabile, vorbim și despre cazuri de exploatare zero cunoscute. Acestea sunt cote destul de bune.
HTC a spus că actualizările de aici înainte vor conține soluția. Și CyanogenMod le încorporează acum.
Motorola spune că toate telefoanele sale de generație curentă - de la Moto E la cel mai nou Moto X (și tot ce este între ele) vor fi patchate, care vor merge la transportatori începând cu 10 august.
Pe 5 august, Google a lansat noi imagini de sistem pentru Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 și Nexus 10. Google a anunțat, de asemenea, că va lansa actualizări lunare de securitate pentru linia Nexus pentru linia Nexus. (A doua versiune publicată M Preview publicată pare a fi deja plasată.)
Și deși nu a numit exploatarea Stagefright pe nume, Adrian Ludwig de la Google, mai devreme pe Google+, a abordat deja exploatările și securitatea în general, amintindu-ne din nou de multiplele straturi care intră în protejarea utilizatorilor. El scrie:
Există o presupunere comună, greșită, că orice eroare software poate fi transformat într-un exploit de securitate. De fapt, majoritatea erorilor nu sunt exploatabile și există multe lucruri pe care Android le-a făcut pentru a îmbunătăți aceste cote. Am petrecut ultimii 4 ani investind foarte mult în tehnologii axate pe un singur tip de erori - bug-uri de corupție a memoriei - și încercând să facem aceste greșeli mai dificil de exploatat.
![Honeycomb 3.2, aplicații de chat video doar [de pe forumuri]](https://img.androidermagazine.com/img/news/118/honeycomb-3-2-wifi-only-video-chat-apps.jpg "Honeycomb 3.2, aplicații de chat video doar [de pe forumuri]")
