Android “stagefright” izmantošana: tas, kas jums jāzina

Drošības uzņēmums Zimperium 2015. gada jūlijā paziņoja, ka ir atklājis Android operētājsistēmas ievainojamības “vienradzi”. Sīkāka informācija tika publiski atklāta BlackHat konferencē augusta sākumā - bet ne pirms virsrakstiem, kas paziņoja, ka gandrīz miljardu Android ierīču varētu tikt pārņemtas, pat ja to lietotāji pat to nezina.

Kas ir "Stagefright"? Un vai par to ir jāuztraucas?

Mēs pastāvīgi atjauninām šo ziņu, jo tiek atbrīvota vairāk informācijas. Šeit ir tas, ko mēs zinām, un tas, kas jums jāzina.

Kas ir Stagefright?

"Stagefright" ir segvārds, kas piešķirts potenciālajam izmantotājam, kurš diezgan dziļi dzīvo pašā Android operētājsistēmā. Būtība ir tāda, ka video, kas nosūtīts, izmantojot MMS (īsziņa), teorētiski varētu tikt izmantots kā uzbrukuma avots, izmantojot libStageFright mehānismu (tādējādi nosaukums "Stagefright"), kas palīdz Android apstrādāt video failus. Daudzas īsziņu lietotnes - Google Hangouts lietotne tika īpaši pieminēta - automātiski apstrādā šo videoklipu, lai tas būtu gatavs skatīšanai, tiklīdz atverat ziņojumu, un tādējādi uzbrukums teorētiski varētu notikt, pat ja jūs to pat nezināt.

Tā kā libStageFright datēta ar operētājsistēmu Android 2.2, simtiem miljonu tālruņu satur šo kļūdaino bibliotēku.

17-18. Augusts: Vai paliek ekspluatācijas veidi?

Tiklīdz Google sāka ieviest atjauninājumus savai Nexus līnijai, Exodus firma smieklīgi publicēja emuāra ziņu, sakot, ka vismaz viens ekspluatācijas veids nav parādīts, kas nozīmē, ka Google ir ieskauj kodu. Apvienotās Karalistes publikācija “ The Register ” nevīžīgi uzrakstītā rakstā citē Rapid7 inženieri, sakot, ka nākamais labojums tiks veikts septembra drošības atjauninājumā - jaunā ikmēneša drošības labošanas procesa daļā.

Savukārt Google vēl ir publiski jāizskata šī pēdējā prasība.

Ja trūkst sīkāku informāciju par šo, mēs sliecamies domāt, ka sliktākajā gadījumā mēs atrodamies tur, kur sākām - ka libStageFight ir trūkumi, bet ir arī citi drošības līmeņi, kuriem vajadzētu mazināt ierīču iespēju faktiski tiek izmantots.

18. augusts. Trend Micro publicēja emuāra ziņu par vēl vienu libStageFright trūkumu. Tā paziņoja, ka nav pierādījumu, ka šī izmantošana faktiski tiek izmantota, un ka Google 1. augustā publicēja ielāpu Android atvērtā pirmkoda projektā.

Jauna Stagefright informācija no 5. augusta

Saistībā ar BlackHat konferenci Lasvegasā, kurā publiski tika atklāta sīkāka informācija par Stagefright ievainojamību, Google īpaši pievērsās šai situācijai, Android drošības galvenajam inženierim Adrianam Ludvigam paziņojot NPR, ka "šobrīd 90 procentiem Android ierīču ir tehnoloģija. kuru sauc par ASLR iespējotu, kas aizsargā lietotājus no problēmas."

Tas ir ļoti pretrunā ar rindu “900 miljoni Android ierīču ir neaizsargātas”, kuru mēs visi esam lasījuši. Lai gan mēs neiedziļināsimies vārdu un pedantiskas karu vidū, kas saistīti ar skaitļiem, Ludvigs teica, ka ierīcēm, kurās darbojas operētājsistēma Android 4.0 vai jaunāka - tas ir aptuveni 95 procenti no visām aktīvajām ierīcēm, kurās ir Google pakalpojumi - ir aizsardzība pret iebūvēts bufera pārpildes uzbrukums.

ASLR (adreses ātruma samazināšanas un formatēšanas adrese) ir metode, kas uzbrucējam neļauj ticami atrast funkciju, kuru viņš vai viņa vēlas izmēģināt un izmanto, nejauši izkārtojot procesa atmiņas adreses. Kopš 2005. gada jūnija ASLR ir iespējots noklusējuma Linux kodolā, un tas tika pievienots operētājsistēmai Android ar versiju 4.0 (Ice Cream Sandwich).

Kā tas ir kumoss?

Tas nozīmē, ka galvenās darbojošās programmas vai pakalpojuma jomas katru reizi RAM netiek ievietotas vienā un tajā pašā vietā. Liekot lietas atmiņā pēc nejaušības principa, jebkuram uzbrucējam ir jāuzmin, kur meklēt datus, kurus viņi vēlas izmantot.

Tas nav ideāls labojums, un, lai arī vispārējs aizsardzības mehānisms ir labs, mums joprojām ir vajadzīgi tiešie ielāpi pret zināmiem izmantošanas gadījumiem, kad tie rodas. Google, Samsung (1), (2) un Alcatel ir paziņojuši par tiešu scenogrāfu ielāpu, un Sony, HTC un LG paziņo, ka augustā laidīs klajā atjauninājumu ielāpus.

Kas to atrada?

Par ekspluatāciju 21. jūlijā paziņoja mobilā apsardzes firma Zimperium kā daļu no paziņojuma par ikgadējo ballīti BlackHat konferencē. Jā, jūs lasījāt šīs tiesības. Šī “visu Android ievainojamību māte”, kā to izteicis Zimperium, tika paziņota 21. jūlijā (nedēļu pirms acīmredzot kāds nolēma rūpēties), un tikai dažiem vārdiem vēl lielāka bumba “6. augusta vakarā Zimperium šūpojiet Vegas ballīšu skatu! " Un jūs zināt, ka tas būs dusmas, jo tā ir "mūsu ikgadējā Vegas ballīte mūsu iecienītākajām nindzjām", pilnīgi ar rockin 'hashtag un visu.

Cik izplatīta ir šī izmantošana?

Atkal, ierīču skaits ar trūkumiem pašā libStageFright bibliotēkā ir diezgan milzīgs, jo tas atrodas pašā operētājsistēmā. Bet kā Google atzīmēja vairākas reizes, ir arī citas metodes, kurām vajadzētu aizsargāt jūsu ierīci. Padomājiet par to kā drošību slāņos.

Tāpēc man vajadzētu uztraukties par Stagefright, vai ne?

Labās ziņas ir tādas, ka pētnieks, kurš atklāja šo trūkumu Stagefright "neuzskata, ka savvaļā izlaupīti hakeri to izmanto". Tātad tā ir ļoti slikta lieta, kuru acīmredzot neviens faktiski nelieto pret kādu, vismaz pēc šī viena cilvēka teiktā. Un atkal, Google saka, ja jūs izmantojat Android 4.0 vai jaunāku versiju, iespējams, jums viss būs kārtībā.

Tas nenozīmē, ka tas nav slikts potenciālais izmantojums. Tas ir. Un tas vēl vairāk uzsver grūtības iegūt atjauninājumus, kas izdoti caur ražotāju un nesēju ekosistēmu. No otras puses, tas ir potenciāls izmantošanas ceļš, kas acīmredzot ir bijis kopš operētājsistēmas Android 2.2 vai būtībā pēdējos piecus gadus. Tas atkarībā no jūsu skatupunkta padara jūs par ķeksējošu laika bumbu vai labdabīgu cistu.

Un no savas puses Google jūlijā Android Central atkārtoja, ka lietotāju aizsardzībai ir izveidoti vairāki mehānismi.

Mēs pateicamies Joshua Drake par viņa ieguldījumu. Android lietotāju drošība mums ir ārkārtīgi svarīga, tāpēc mēs ātri reaģējām, un partneriem jau ir piegādāti ielāpi, kurus var lietot jebkurā ierīcē.

Lielākajai daļai Android ierīču, ieskaitot visas jaunākās ierīces, ir vairākas tehnoloģijas, kas izstrādātas, lai padarītu to izmantošanu grūtāku. Android ierīcēs ir arī lietojumprogrammu smilškaste, kas paredzēta lietotāju datu un citu ierīcē esošo ierīču aizsardzībai.

Kas par atjauninājumiem, lai labotu Stagefright?

Lai to patiesi labotu, mums būs nepieciešami sistēmas atjauninājumi. Savā jaunajā “Android drošības grupā” 12. augusta biļetenā Google izdeva “Nexus drošības biļetenu”, kurā sīki aprakstītas lietas no tā beigām. Ir informācija par vairākiem CVE (parastās ievainojamības un ekspozīcijas), ieskaitot gadījumus, kad partneri tika informēti (par to jau 10. aprīlī), kuri veido Android piedāvātos labojumus (Android 5.1.1, build LMY48I) un citus mīkstinošus faktorus (iepriekšminētā ASLR atmiņas shēma).

Google arī paziņoja, ka tā ir atjauninājusi savas Hangouts un Messenger lietotnes, lai tās automātiski neapstrādātu video ziņojumus fonā ", lai multivide netiktu automātiski nodota starpnieka servera procesam".

Sliktā ziņa ir tā, ka vairumam cilvēku ir jāgaida ražotāji un pārvadātāji, lai izstumtu sistēmas atjauninājumus. Bet atkal - kamēr mēs runājam par kaut ko līdzīgu 900 miljoniem neaizsargātu tālruņu, mēs runājam arī par nulles zināmiem ekspluatācijas gadījumiem. Tās ir diezgan labas izredzes.

HTC ir teicis, ka atjauninājumi, sākot ar šo versiju, satur labojumu. Un CyanogenMod tos iekļauj arī tagad.

Motorola saka, ka visi tās pašreizējās paaudzes tālruņi - sākot ar Moto E un beidzot ar jaunāko Moto X (un visu, kas pa vidu), tiks izlaboti, kura kods pārvadātājiem sāksies no 10. augusta.

5. augustā Google izlaida jaunus sistēmas attēlus Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 un Nexus 10. Google arī paziņoja, ka katru mēnesi laidīs klajā Nexus līnijas drošības atjauninājumus. (Šķiet, ka arī otra publiski izlaista M Preview versija jau ir izlabota.)

Kaut arī viņš nenosauca Stagefright ekspluatāciju pēc vārda, Google Adrians Ludvigs iepriekš pakalpojumā Google+ jau bija pievērsies ekspluatācijai un drošībai kopumā, atkal atgādinot mums par vairākiem slāņiem, kas nonāk lietotāju aizsardzībā. Viņš raksta:

Pastāv izplatīts, kļūdains pieņēmums, ka jebkuru programmatūras kļūdu var pārvērst par drošības izmantošanu. Faktiski vairums kļūdu nav izmantojamas, un ir daudz lietu, ko Android ir paveicis, lai uzlabotu šos koeficientus. Pēdējos 4 gadus mēs esam pavadījuši lielus ieguldījumus tehnoloģijās, kas koncentrējas uz viena veida kļūdām - atmiņas korupcijas kļūdām - un mēģinot padarīt šīs kļūdas grūtāk izmantojamas.