Android 'stagefright' udnyttelse: hvad du har brug for at vide

I juli 2015 meddelte sikkerhedsfirmaet Zimperium, at det havde opdaget en "enhjørning" af en sårbarhed i Android-operativsystemet. Flere detaljer blev offentliggjort på BlackHat-konferencen i begyndelsen af ​​august - men ikke før overskrifter, der erklærede, at næsten en milliard Android-enheder potentielt kunne overtages, uden at deres brugere engang vidste det.

Så hvad er "Stagefright"? Og har du brug for at bekymre dig om det?

Vi opdaterer løbende dette indlæg, efterhånden som der frigives mere information. Her er hvad vi ved, og hvad du har brug for at vide.

Hvad er Stagefright?

"Stagefright" er kaldenavnet, der gives til en potentiel udnyttelse, der lever temmelig dybt inde i selve Android-operativsystemet. Grundlæggende er, at en video, der sendes via MMS (tekstbesked), teoretisk kunne bruges som en angrebsmåde gennem libStageFright- mekanismen (dermed navnet "Stagefright"), som hjælper Android med at behandle videofiler. Mange tekstmeddelelsesapps - Googles Hangouts-app blev specifikt nævnt - behandler automatisk den video, så den er klar til visning, så snart du åbner meddelelsen, og så angrebet teoretisk kunne ske, uden at du engang vidste det.

Da libStageFright går tilbage til Android 2.2, indeholder hundreder af millioner af telefoner dette mangelfulde bibliotek.

17-18 august: Der er stadig udnyttelser?

Ligesom Google begyndte at udrulde opdateringer til sin Nexus-linje, offentliggjorde Exodus-firmaet et blogindlæg snarkly og sagde, at mindst en udnyttelse forblev upåagtet, hvilket antyder, at Google skruede fast med koden. Den britiske publikation Register registrerer i et flunkende skrevet stykke en ingeniør fra Rapid7 for at sige, at den næste rettelse kommer i september's sikkerhedsopdatering - en del af den nye månedlige sikkerhedsopdateringsproces.

Google har på sin side endnu ikke behandlet dette seneste krav offentligt.

I mangel af yderligere oplysninger til denne, er vi tilbøjelige til at tro, at det værre er, at vi er tilbage, hvor vi startede - at der er mangler i libStageFight, men at der er andre lag af sikkerhed, der bør dæmpe muligheden for enheder faktisk bliver udnyttet.

Den 18. august. Trend Micro offentliggjorde et blogindlæg om en anden fejl i libStageFright. Den sagde, at den ikke havde noget bevis for, at denne udnyttelse faktisk blev brugt, og at Google offentliggjorde programrettelsen til Android Open Source-projektet den 1. august.

Nye Stagefright-detaljer fra 5. august

I forbindelse med BlackHat-konferencen i Las Vegas - hvor flere detaljer om Stagefright-sårbarheden blev offentliggjort - behandlede Google situationen specifikt, hvor hovedingeniør for Android-sikkerhed Adrian Ludwig sagde til NPR, at "i øjeblikket har 90 procent af Android-enheder en teknologi kaldet ASLR aktiveret, som beskytter brugere mod problemet."

Dette er meget i strid med den "900 millioner Android-enheder er sårbare", som vi alle har læst. Selvom vi ikke kommer til at komme midt i en krig med ord og fodtræning over antallet, er det, som Ludwig sagde, at enheder, der kører Android 4.0 eller nyere - det er omkring 95 procent af alle aktive enheder med Google-tjenester - har beskyttelse mod et indbygget bufferoverløbeangreb.

ASLR (A ddress S tempo L ayout R andomization) er en metode, der forhindrer en angriber fra pålideligt at finde den funktion, han eller hun vil prøve og udnytte ved tilfældigt arrangement af hukommelsesadresser i en proces. ASLR er blevet aktiveret i standard Linux Kernel siden juni 2005 og blev føjet til Android med version 4.0 (Ice Cream Sandwich).

Hvordan er det med en mundfuld?

Hvad det betyder er, at nøgleområderne i et program eller en tjeneste, der kører, ikke sættes på samme sted i RAM hver gang. At tilføre ting tilfældigt i hukommelsen betyder, at enhver angriber skal gætte, hvor de skal kigge efter de data, de vil udnytte.

Dette er ikke en perfekt løsning, og selvom en generel beskyttelsesmekanisme er god, har vi stadig brug for direkte plaster mod kendte udnyttelser, når de opstår. Google, Samsung (1), (2) og Alcatel har annonceret en direkte opdatering til stagefright, og Sony, HTC og LG siger, at de vil frigive opdateringsrettelser i august.

Hvem fandt denne udnyttelse?

Udnyttelsen blev annonceret 21. juli af det mobile sikkerhedsfirma Zimperium som en del af en meddelelse til sin årlige fest på BlackHat-konferencen. Ja, du læser det rigtigt. Denne "sårbarhed med alle Android-sårbarheder", som Zimperium udtrykker det, blev annonceret 21. juli (en uge før nogen besluttede at pleje, tilsyneladende), og bare et par ord den endnu større bombeskal af "Om aftenen den 6. august vil Zimperium rock Vegas-scenen! " Og du ved, det bliver en raser, fordi det er "vores årlige Vegas-fest til vores yndlingsninjas", helt med en rockin 'hashtag og alt sammen.

Hvor udbredt er denne udnyttelse?

Igen er antallet af enheder med fejlen i selve libStageFright- biblioteket ret stort, fordi det er i selve operativsystemet. Men som bemærket af Google flere gange, er der andre metoder, der skal beskytte din enhed. Tænk på det som sikkerhed i lag.

Så skal jeg bekymre mig om Stagefright eller ej?

Den gode nyhed er, at forskeren, der opdagede denne fejl i Stagefright, "ikke tror, ​​at hackere i naturen udnytter den." Så det er en meget dårlig ting, som tilsyneladende ingen faktisk bruger mod nogen, i det mindste ifølge denne ene person. Og igen, Google siger, at hvis du bruger Android 4.0 eller nyere, vil du sandsynligvis være i orden.

Det betyder ikke, at det ikke er en dårlig potentiel udnyttelse. Det er. Og det fremhæver yderligere vanskelighederne ved at få opdateringer skubbet ud gennem producenten og transportørens økosystem. På den anden side er det en potentiel mulighed for udnyttelse, der tilsyneladende har eksisteret siden Android 2.2 - eller dybest set de sidste fem år. Det gør dig enten til en tikkende tidsbombe eller en godartet cyste, afhængigt af dit synspunkt.

Og på sin side gentog Google i juli over for Android Central, at der er flere mekanismer på plads til at beskytte brugerne.

Vi takker Joshua Drake for hans bidrag. Android-brugernes sikkerhed er ekstremt vigtig for os, og vi svarede hurtigt, og der er allerede leveret programrettelser til partnere, der kan anvendes på enhver enhed.

De fleste Android-enheder, inklusive alle nyere enheder, har flere teknologier, der er designet til at gøre udnyttelse vanskeligere. Android-enheder inkluderer også en applikationssandkasse designet til at beskytte brugerdata og andre applikationer på enheden.

Hvad med opdateringer til at rette Stagefright?

Vi får brug for systemopdateringer for virkelig at løse dette. I sin nye "Android Security Group" i en 12. august-bulletin udstedte Google en "Nexus-sikkerhedsbulletin", der detaljerede ting fra dets slutning. Der er detaljer om flere CVE'er (Common Vulnerabilities and Exposures), inklusive når partnere blev underrettet (allerede 10. april for en), som bygger af Android-featured fixes (Android 5.1.1, build LMY48I) og alle andre formildende faktorer (det førnævnte ASLR-hukommelsesskema).

Google sagde også, at det har opdateret sine Hangouts- og Messenger-apps, så de ikke automatisk behandler videobeskeder i baggrunden ", så medier ikke automatisk sendes til mediaserverprocessen."

Den dårlige nyhed er, at de fleste mennesker gør for at skulle vente på producenterne og luftfartsselskaberne for at skubbe systemopdateringer ud. Men igen - mens vi taler om noget som 900 millioner sårbare telefoner derude, taler vi også nul kendte tilfælde af udnyttelse. Det er ret gode odds.

HTC har sagt, at opdateringer herfra og ud vil indeholde rettelsen. Og CyanogenMod integrerer dem nu også.

Motorola siger, at alle sine nuværende generations telefoner - fra Moto E til den nyeste Moto X (og alt derimellem) vil blive lappet, hvilken kode går til luftfartsselskaber, der starter 10. august.

Den 5. august frigav Google nye systembilleder til Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 og Nexus 10. Google annoncerede også, at det vil frigive månedlige sikkerhedsopdateringer til Nexus-linjen til Nexus-linjen. (Den anden offentligt udgivne M Preview-bygning ser ud til allerede allerede at være lappet.)

Og selvom han ikke navngav Stagefright-udnyttelsen med navn, havde Googles Adrian Ludwig tidligere på Google+ allerede adresseret udnyttelse og sikkerhed generelt, hvilket igen mindede os om de flere lag, der går til at beskytte brugerne. Han skriver:

Der er almindelig, forkert antagelse om, at enhver softwarebug kan omdannes til en sikkerhedsudnyttelse. Faktisk kan de fleste fejl ikke udnyttes, og der er mange ting, Android har gjort for at forbedre disse odds. Vi har brugt de sidste 4 år på at investere meget i teknologier, der fokuserer på en type bug - hukommelseskorrupsfejl - og forsøger at gøre disse fejl sværere at udnytte.