Експлуатація "сценічного перегляду" Android: що потрібно знати

У липні 2015 року охоронна компанія Zimperium оголосила, що виявила "єдиноріг" вразливості всередині операційної системи Android. Більш детально було оприлюднено на конференції BlackHat на початку серпня - але не до того, як заголовки заявили, що майже мільярд пристроїв Android може бути захоплено, без того, щоб їх користувачі навіть не знали.

Отже, що таке "Сцефрейд"? І чи потрібно про це хвилюватися?

Ми постійно оновлюємо цю публікацію, коли з’являється більше інформації. Ось що ми знаємо, і що вам потрібно знати.

Що таке Stagefright?

"Stagefright" - це прізвисько, яке надається потенційному подвигу, який живе досить глибоко всередині самої операційної системи Android. Суть у тому, що відео, надіслане через MMS (текстове повідомлення), теоретично може бути використане як алея атаки через механізм libStageFright (таким чином, ім'я "Stagefright"), що допомагає Android обробляти відеофайли. Багато програм для обміну текстовими повідомленнями - спеціально згаданий додаток Google Hangouts - автоматично обробляють це відео, щоб воно було готове до перегляду, як тільки ви відкриєте повідомлення, і тому теоретично напад може статися, навіть якщо ви цього не знаєте.

Оскільки libStageFright датується Android 2.2, сотні мільйонів телефонів містять цю недосконалу бібліотеку.

17-18 серпня: Підвиги залишаються?

Коли компанія Google почала впроваджувати оновлення для своєї лінійки Nexus, фірма Exodus несміливо опублікувала повідомлення в блозі, в якому сказала, що принаймні один подвиг залишився незавершеним, маючи на увазі, що Google накрутив код. Британське видання "Реєстр", напевно написане, цитує інженера з Rapid7, що наступне виправлення надійде у вересні оновлення безпеки - частина нового місячного процесу виправлення безпеки.

Google зі свого боку ще не публічно вирішив цю останню заяву.

За відсутності будь-яких додаткових деталей для цього, ми схильні вважати, що в гіршому випадку ми повернулися з того, з чого почали - що є недоліки в libStageFight, але є й інші шари безпеки, які повинні пом'якшити можливість пристроїв насправді експлуатується.

Одного серпня. 18 Тенденція Micro опублікувала публікацію в блозі про ще один недолік в libStageFright. Він сказав, що не мав жодних доказів того, що цей подвиг фактично використовувався, і що Google опублікував патч до проекту Android Open Source 1 серпня.

Нові деталі Stagefright станом на 5 серпня

У поєднанні з конференцією BlackHat у Лас-Вегасі - на якій було детально розкрито більше деталей уразливості Stagefright - Google вирішив ситуацію спеціально, провідний інженер з безпеки Android Адріан Людвіг сказав NPR, що "на даний момент 90 відсотків пристроїв Android мають технологію називається включеним ASLR, що захищає користувачів від проблеми."

Це дуже суперечить лінії "900 мільйонів пристроїв Android вразливі", яку ми всі читали. Хоча ми не збираємося потрапляти в розпал війни слів і педантизму щодо чисельності, Людвіг сказав, що пристрої з ОС Android 4.0 або новішої версії - це близько 95 відсотків усіх активних пристроїв із сервісами Google - захищають від вбудована атака переповнення буфера.

ASLR (Adress S pace L ayout R andomization) - це метод, який запобігає надійному пошуку зловмисника функції, яку він або вона хоче спробувати і використати шляхом випадкового розташування адресних просторів пам'яті процесу. ASLR увімкнено у Linux Kernel за замовчуванням з червня 2005 року та додано до Android з версією 4.0 (сендвіч з морозивом).

Як це на рот?

Це означає, що ключові області програми чи послуги, які виконуються, щоразу не ставляться на одне місце в оперативній пам’яті. Якщо випадково помістити речі в пам'ять, будь-який зловмисник повинен здогадатися, де шукати дані, які вони хочуть використовувати.

Це не є ідеальним виправленням, і хоча загальний механізм захисту хороший, нам все одно потрібні прямі патчі проти відомих подвигів, коли вони виникають. Google, Samsung (1), (2) та Alcatel оголосили прямий виправлення для сценічного перегляду, а Sony, HTC та LG заявляють, що випускатимуть патчі оновлення у серпні.

Хто знайшов цей подвиг?

Про експлуатацію було оголошено 21 липня мобільною охоронною фірмою Zimperium як частину оголошення про її щорічну вечірку на конференції BlackHat. Так, ви правильно прочитали. Ця "Матір усіх вразливих версій Android", як стверджує Zimperium, була оголошена 21 липня (за тиждень до того, як хтось вирішив піклуватися, мабуть), і лише кілька слів ще більша бомба "Ввечері 6 серпня Zimperium рок-сцені вечірньої вечірки! " І ви знаєте, що це буде гніт, тому що це "наша щорічна вечірка для наших улюблених ніндзя", повністю з рок-хештегом і все.

Наскільки поширений цей подвиг?

Знову ж таки, кількість пристроїв із недоліком у самій бібліотеці libStageFright є досить величезною, адже вона знаходиться в самій ОС. Але, як неодноразово зазначало Google, існують інші методи, які захищають ваш пристрій. Подумайте про це як про захист у шарах.

Тож я повинен турбуватися про Стаджефріта чи ні?

Хороша новина полягає в тому, що дослідник, який виявив цю ваду в "Стіффріт", "не вірить, що хакери в дикій природі її використовують". Тож це дуже погано, що, очевидно, ніхто насправді нікого не використовує, принаймні за даними однієї людини. І, знову ж таки, Google каже, що якщо ви використовуєте Android 4.0 або вище, ви, ймовірно, будете в порядку.

Це не означає, що це не поганий потенційний подвиг. Це є. А це ще більше підкреслює труднощі отримання оновлень, висунутих через екосистему виробника та носія. З іншого боку, це потенційний шлях для експлуатації, який, мабуть, існує вже з Android 2.2 - або в основному за останні п’ять років. Це або робить вас бомбою, що тикає, або доброякісною кістою, в залежності від вашої точки зору.

Зі свого боку, Google у липні повторив для Android Central, що існує декілька механізмів захисту користувачів.

Ми дякуємо Джошуа Дрейку за його внесок. Безпека користувачів Android є надзвичайно важливою для нас, тому ми швидко відреагували, і патчі вже надані партнерам, які можна застосувати до будь-якого пристрою.

Більшість пристроїв Android, включаючи всі новіші пристрої, мають декілька технологій, розроблених для ускладнення експлуатації. На пристрої Android також входить пісочниця програм, призначена для захисту даних користувачів та інших програм на пристрої.

Що з оновленнями, щоб виправити Stagefright?

Нам знадобиться оновлення системи, щоб справді це виправити. У своєму новому "Android Security Group" у бюлетені 12 серпня Google видав "Бюлетень безпеки Nexus", в якому детально описував речі з його кінця. Є детальна інформація про декілька CVE (загальні вразливості та експозиції), в тому числі, коли партнерам було повідомлено (ще 10 квітня для одного), які складають виправлені функції Android (Android 5.1.1, збірка LMY48I) та будь-які інші пом'якшувальні фактори вищезазначена схема пам'яті ASLR).

Google також заявив, що оновив свої додатки Hangouts і Messenger, щоб вони не обробляли автоматично відео-повідомлення у фоновому режимі, "щоб медіа не автоматично передавались у процес сервера медіа-сервера".

Погана новина полягає в тому, що більшість людей роблять, що доведеться чекати на виробників і операторів, щоб випустити оновлення системи. Але, знову ж таки - поки ми говоримо про щось на зразок 900 мільйонів вразливих телефонів, ми також говоримо про нульові відомі випадки експлуатації. Це досить хороші шанси.

HTC сказав, що оновлення з цього моменту будуть містити виправлення. І CyanogenMod включає їх і зараз.

Motorola заявляє, що всі її телефони поточного покоління - від Moto E до найновішого Moto X (і все, що знаходиться між ними), будуть виправлені, код якого буде переданий операторам з 10 серпня.

5 серпня компанія Google випустила нові системні зображення для Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 та Nexus 10. Google також оголосила, що випускатиме щомісячні оновлення безпеки для лінії Nexus для лінії Nexus. (Друга публічно випущена збірка M Preview також вже зафіксована.)

І хоча він не назвав подвиг Stagefright за назвою, Адріан Людвіг Google раніше в Google+ вже звертався до подвигів та безпеки взагалі, знову нагадуючи нам про безліч шарів, які захищають користувачів. Він пише:

Існує поширене помилкове припущення, що будь-яка програмна помилка може бути перетворена на подвиг безпеки. Насправді, більшість помилок не є корисними, і багато можливостей Android зробили, щоб поліпшити ці шанси. Ми витратили останні 4 роки, вкладаючи великі кошти в технології, орієнтовані на один тип помилок - помилки з пошкодженням пам’яті, - і намагаємось зробити такі помилки складнішими для експлуатації.