Эксплуатация Android в 'stagefright': что нужно знать

В июле 2015 года охранная компания Zimperium объявила, что обнаружила «единорога» уязвимости в операционной системе Android. Более подробная информация была обнародована на конференции BlackHat в начале августа, но не раньше, чем в заголовках новостей, объявляющих о том, что почти миллиард устройств Android может быть захвачен, даже если их пользователи даже не знают об этом.

Так что же такое "Stagefright"? И вам нужно беспокоиться об этом?

Мы постоянно обновляем этот пост по мере выпуска дополнительной информации. Вот что мы знаем и что вам нужно знать.

Что такое Stagefright?

«Stagefright» - это прозвище, данное потенциальному эксплойту, который живет довольно глубоко внутри самой операционной системы Android. Суть в том, что видео, отправленное через MMS (текстовое сообщение), теоретически может быть использовано как способ атаки через механизм libStageFright (таким образом, имя «Stagefright»), который помогает Android обрабатывать видеофайлы. Многие приложения для обмена текстовыми сообщениями - в частности, приложение Google Hangouts - автоматически обрабатывают это видео, чтобы оно было готово к просмотру, как только вы откроете сообщение, и, таким образом, теоретически атака может произойти даже без вашего ведома.

Поскольку libStageFright восходит к Android 2.2, сотни миллионов телефонов содержат эту некорректную библиотеку.

17-18 августа: подвиги остаются?

Как только Google начал выпускать обновления для своей линейки Nexus, фирма Exodus опубликовала сообщение в блоге, в котором странно говорится, что по крайней мере один эксплойт остался незамеченным, подразумевая, что Google облажался с кодом. В британском издании The Register, написанном неуклюже, цитируется инженер из Rapid7, который говорит, что следующее исправление выйдет в сентябрьском обновлении безопасности - части нового ежемесячного процесса обновления безопасности.

Google, со своей стороны, еще не опубликовал эту последнюю заявку.

В отсутствие каких-либо дополнительных подробностей для этого мы склонны полагать, что в худшем случае мы вернулись к тому, с чего начали - что есть недостатки в libStageFight, но есть и другие уровни безопасности, которые должны снизить вероятность устройств на самом деле эксплуатируется.

Однажды 18 августа. Trend Micro опубликовала сообщение в блоге о другом недостатке в libStageFright. В нем говорится, что у него нет доказательств того, что этот эксплойт действительно используется, и что Google опубликовал патч для Android Open Source Project 1 августа.

Новые детали Stagefright по состоянию на 5 августа

В связи с конференцией BlackHat в Лас-Вегасе, на которой было открыто обнародовано больше деталей об уязвимости Stagefright, Google специально рассмотрел ситуацию, а ведущий инженер по безопасности Android Эдриан Людвиг сказал NPR, что «в настоящее время 90 процентов устройств Android имеют технологию называется ASLR включен, что защищает пользователей от проблемы ".

Это очень расходится с строкой «900 миллионов устройств Android уязвимы», которую мы все прочитали. Хотя мы не собираемся вступать в войну слов и педантизма за цифры, Людвиг говорил, что устройства под управлением Android 4.0 или выше - это примерно 95 процентов всех активных устройств с сервисами Google - имеют защиту от встроенная атака переполнения буфера.

ASLR (метод определения адресации) - это метод, который не позволяет злоумышленнику надежно найти функцию, которую он или она хочет использовать, путем случайного расположения адресных пространств памяти процесса. ASLR был включен в ядре Linux по умолчанию с июня 2005 года и был добавлен в Android с версией 4.0 (Ice Cream Sandwich).

Как это для глотка?

Это означает, что ключевые области работающей программы или службы не всегда помещаются в одно и то же место в ОЗУ. Случайное помещение в память означает, что любой злоумышленник должен угадать, где искать данные, которые он хочет использовать.

Это не идеальное решение, и хотя общий механизм защиты хорош, нам все же нужны прямые исправления от известных эксплойтов, когда они возникают. Google, Samsung (1), (2) и Alcatel объявили о прямом патче для stagefright, а Sony, HTC и LG заявили, что выпустят обновления в августе.

Кто нашел этот подвиг?

Эксплойт Zimperium объявил об уязвимости 21 июля в рамках анонса своей ежегодной вечеринки на конференции BlackHat. Да, вы правильно прочитали. Об этой «Матери всех уязвимостей Android», как говорит Zimperium, было объявлено 21 июля (очевидно, за неделю до того, как кто-то решил позаботиться о ней), и лишь несколько слов о еще большей бомбе из «Вечером 6 августа Zimperium будет рок-вечеринка в Вегасе! " И вы знаете, что это будет разгул, потому что это «наша ежегодная вечеринка в Вегасе для наших любимых ниндзя», полностью с рок-н-хэштегом и всем прочим.

Насколько широко распространен этот подвиг?

Опять же, количество устройств с недостатком в самой библиотеке libStageFright довольно велико, потому что оно находится в самой ОС. Но, как неоднократно отмечал Google, существуют другие методы, которые должны защитить ваше устройство. Думайте об этом как о безопасности в слоях.

Так стоит ли мне беспокоиться о Stagefright или нет?

Хорошая новость заключается в том, что исследователь, обнаруживший этот недостаток в Stagefright, «не верит, что хакеры в дикой природе используют его». Так что это очень плохо, что, очевидно, никто на самом деле не использует против кого-либо, по крайней мере, по словам этого человека. И, опять же, Google говорит, что если вы используете Android 4.0 или выше, вы, вероятно, будете в порядке.

Это не значит, что это не плохой потенциальный подвиг. Это. Кроме того, это подчеркивает трудности, связанные с получением обновлений через экосистему производителя и оператора связи. С другой стороны, это потенциальный путь для эксплойта, который, по-видимому, существует с Android 2.2 - или, по сути, последние пять лет. Это либо делает вас бомбой замедленного действия, либо доброкачественной кистой, в зависимости от вашей точки зрения.

И со своей стороны, Google в июле подтвердил Android Central, что существует множество механизмов для защиты пользователей.

Мы благодарим Джошуа Дрейка за его вклад. Безопасность пользователей Android чрезвычайно важна для нас, поэтому мы быстро отреагировали, и партнеры уже предоставили исправления, которые могут быть применены к любому устройству.

Большинство устройств Android, включая все новые устройства, имеют несколько технологий, разработанных для усложнения эксплуатации. Устройства Android также включают в себя изолированную программную среду приложений, предназначенную для защиты пользовательских данных и других приложений на устройстве.

Как насчет обновлений, чтобы исправить Stagefright?

Нам понадобятся обновления системы, чтобы действительно исправить это. В своей новой «Группе безопасности Android» в бюллетене от 12 августа Google выпустил «Бюллетень по безопасности Nexus», в котором подробно рассказывается о его конце. Есть подробные сведения о нескольких CVE (распространенных уязвимостях и уязвимостях), в том числе о том, когда партнеры были уведомлены (не ранее 10 апреля), о какой сборке исправлений для Android (Android 5.1.1, сборка LMY48I) и о любых других смягчающих факторах (вышеупомянутая схема памяти ASLR).

Google также сообщил, что обновил свои приложения Hangouts и Messenger, чтобы они не обрабатывали видео-сообщения автоматически в фоновом режиме, «чтобы медиа не автоматически передавались процессу медиасервера».

Плохая новость заключается в том, что большинству людей приходится ждать, пока производители и операторы не выпустят обновления системы. Но, опять же, пока мы говорим о чем-то вроде 900 миллионов уязвимых телефонов, мы также говорим о ноль известных случаев эксплуатации. Это довольно хорошие шансы.

HTC сказала, что обновления будут содержать исправление. И CyanogenMod включает их и сейчас.

Motorola заявляет, что все ее телефоны текущего поколения - от Moto E до новейшего Moto X (и всего, что между ними) будут исправлены, и этот код будет передаваться операторам с 10 августа.

5 августа Google выпустила новые системные образы для Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 и Nexus 10. Google также объявила, что будет выпускать ежемесячные обновления безопасности для линии Nexus для линии Nexus. (Похоже, что вторая публично выпущенная сборка M Preview уже исправлена.)

И хотя он не назвал эксплойт в Stagefright по имени, Адриан Людвиг из Google ранее в Google+ уже рассматривал эксплойты и безопасность в целом, снова напоминая нам о многочисленных уровнях защиты пользователей. Он пишет:

Существует распространенное ошибочное предположение, что любая программная ошибка может быть превращена в эксплойт безопасности. На самом деле, большинство ошибок не могут быть использованы, и Android сделал много вещей, чтобы улучшить эти шансы. Мы потратили последние 4 года, вкладывая значительные средства в технологии, ориентированные на один тип ошибок - ошибки, связанные с повреждением памяти, - и пытались сделать эти ошибки более сложными для использования.