Eksploitasi Android 'stagefright': apa yang anda perlu ketahui

Pada bulan Julai 2015, syarikat keselamatan Zimperium mengumumkan bahawa ia telah menemui "unicorn" kelemahan dalam sistem operasi Android. Butiran lebih lanjut didedahkan kepada umum di persidangan BlackHat pada awal bulan Ogos - tetapi tidak sebelum berita utama mengisytiharkan bahawa hampir satu bilion peranti Android berpotensi diambil alih tanpa pengguna mereka walaupun mengetahui.

Jadi apa itu "Stagefright"? Dan adakah anda perlu bimbang mengenainya?

Kami sentiasa mengemas kini siaran ini kerana lebih banyak maklumat dikeluarkan. Berikut adalah apa yang kita tahu, dan apa yang anda perlu tahu.

Apa itu Stagefright?

"Stagefright" adalah nama samaran yang diberikan kepada eksploitasi berpotensi yang hidup dalam sistem operasi Android sendiri. Intip adalah video yang dihantar melalui MMS (mesej teks) boleh secara teorinya digunakan sebagai saluran serangan melalui mekanisme libStageFright (dengan itu nama "Stagefright"), yang membantu fail video proses Android. Banyak aplikasi pemesejan teks - Apl Hangouts Google secara khusus dinyatakan - secara automatik memproses video itu supaya ia siap untuk dilihat sebaik sahaja anda membuka mesej, dan serangan itu secara teoritis boleh berlaku tanpa anda mengetahui.

Kerana libStageFright tarikh kembali ke Android 2.2, beratus-ratus juta telefon mengandungi perpustakaan cacat ini.

17-18 Ogos: Pengeksploitasi kekal?

Sama seperti Google mula melancarkan kemas kini untuk rangkaian Nexus, firma Exodus menerbitkan catatan blog dengan cetus mengatakan bahawa sekurang-kurangnya satu mengeksploitasi tetap tidak dipatenkan, menyiratkan bahawa Google mengacaukan kod tersebut. Penerbitan UK Daftar, dalam sekeping bertulis, memetik seorang jurutera dari Rapid7 sebagai berkata pembaikan seterusnya akan datang dalam kemas kini keselamatan September - sebahagian daripada proses tampalan keselamatan bulanan baru.

Google, bagi pihaknya, masih belum dapat menangani tuntutan terbaru ini.

Sekiranya tiada maklumat lanjut mengenai perkara ini, kami cenderung untuk mempercayai bahawa semakin teruk kami kembali ke mana kami memulakannya - bahawa terdapat kelemahan dalam libStageFight, tetapi terdapat lapisan keselamatan lain yang harus mengurangkan kemungkinan peranti sebenarnya dieksploitasi.

Satu Aug. 18. Trend Micro menerbitkan catatan blog mengenai kecacatan lain dalam libStageFright. Ia mengatakan ia tidak mempunyai bukti kegunaan ini sebenarnya digunakan, dan bahawa Google telah menerbitkan patch ke Projek Sumber Terbuka Android pada 1 Ogos.

Butiran Stagefright baru pada 5 Ogos

Bersempena dengan persidangan BlackHat di Las Vegas - di mana lebih banyak maklumat mengenai kerentanan Stagefright didedahkan secara terbuka - Google menangani situasi khusus, dengan jurutera utama untuk keselamatan Android Adrian Ludwig memberitahu NPR bahawa "pada masa ini, 90 peratus peranti Android mempunyai teknologi yang dipanggil ASLR, yang melindungi pengguna daripada isu itu."

Ini sangat bertentangan dengan garisan "900 juta peranti Android yang terdedah" yang kita semua baca. Walaupun kita tidak akan masuk ke tengah-tengah perang kata-kata dan pedantri ke atas nombor, apa yang dikatakan Ludwig adalah bahawa peranti yang menjalankan Android 4.0 atau lebih tinggi - itu adalah sekitar 95 peratus daripada semua peranti aktif dengan perkhidmatan Google - mempunyai perlindungan terhadap serangan limpahan buffer yang dibina.

ASLR (A ddress S rate L isout R andomization) adalah kaedah yang menyimpan penyerang dari dipercayai mencari fungsi yang dia mahu cuba dan mengeksploitasi oleh susunan rawak ruang alamat ingatan proses. ASLR telah diaktifkan dalam kernel Linux lalai sejak Jun 2005, dan telah ditambah ke Android dengan Versi 4.0 (Ice Cream Sandwich).

Bagaimana keadaannya?

Apa yang dimaksudkan adalah bahawa bidang utama program atau perkhidmatan yang berjalan tidak dimasukkan ke dalam tempat yang sama dalam RAM setiap kali. Meletakkan sesuatu ke dalam memori secara rawak bermakna mana-mana penyerang harus meneka di mana mencari data yang mereka mahu mengeksploitasi.

Ini bukan masalah yang sempurna, dan sementara mekanisme perlindungan umum baik, kita masih memerlukan patch langsung terhadap eksploitasi yang diketahui apabila ia muncul. Google, Samsung (1), (2) dan Alcatel telah mengumumkan patch terus untuk peringkat peringkat, dan Sony, HTC dan LG mengatakan mereka akan melepaskan patch kemas kini pada bulan Ogos.

Siapa yang mendapati eksploit ini?

Eksploitasi telah diumumkan 21 Julai oleh firma keselamatan mudah alih Zimperium sebagai sebahagian daripada pengumuman untuk pesta tahunannya di persidangan BlackHat. Ya, anda membaca hak itu. "Ibu dari semua Kelemahan Android, " seperti yang dikatakan oleh Zimperium, diumumkan pada 21 Julai (seminggu sebelum sesiapa sahaja memutuskan untuk menjaga, nampaknya), dan hanya beberapa perkataan yang lebih besar daripada "Pada petang 6 Ogos, Zimperium akan rock adegan parti Vegas! " Dan anda tahu ia akan menjadi pertarungan kerana ia adalah "pesta Vegas tahunan kami untuk ninjas kegemaran kami, " sepenuhnya dengan hashtag rockin dan segala-galanya.

Berapa luasnya eksploit ini?

Sekali lagi, bilangan peranti dengan cacat dalam perpustakaan libStageFright itu sendiri cukup besar, kerana ia berada dalam OS itu sendiri. Tetapi seperti yang dinyatakan oleh Google beberapa kali, ada kaedah lain yang perlu melindungi peranti anda. Fikirkan ia sebagai keselamatan dalam lapisan.

Oleh itu, saya perlu bimbang tentang Stagefright atau tidak?

Berita baiknya adalah bahawa penyelidik yang menemui kecacatan ini dalam Stagefright "tidak percaya bahawa penggodam di alam liar mengeksploitasinya." Oleh itu, ia adalah satu perkara yang sangat buruk yang nampaknya tiada siapa yang sebenarnya menggunakan terhadap sesiapa pun, sekurang-kurangnya menurut satu orang ini. Dan, sekali lagi, Google mengatakan jika anda menggunakan Android 4.0 atau lebih tinggi, anda mungkin akan menjadi OK.

Itu tidak bermakna ia bukan satu eksploitasi yang buruk. Ia adalah. Dan ia menyoroti lagi kesukaran untuk mendapatkan kemas kini melalui ekosistem pengilang dan pembawa. Sebaliknya, ia adalah satu peluang yang berpotensi untuk mengeksploitasi yang nampaknya telah berlaku sejak Android 2.2 - atau pada dasarnya lima tahun yang lalu. Itu sama ada menjadikan anda bom masa yang berdetik, atau sista yang jinak, bergantung pada pandangan anda.

Dan bagi pihaknya, Google pada bulan Julai mengulangi semula ke Android Central bahawa terdapat banyak mekanisme untuk melindungi pengguna.

Kami mengucapkan terima kasih kepada Joshua Drake atas sumbangannya. Keamanan pengguna Android sangat penting kepada kami dan oleh itu kami bertindak balas dengan cepat dan patch telah disediakan kepada rakan kongsi yang boleh digunakan pada mana-mana peranti.

Kebanyakan peranti Android, termasuk semua peranti yang lebih baru, mempunyai pelbagai teknologi yang direka untuk membuat eksploitasi lebih sukar. Peranti Android juga termasuk kotak pasir aplikasi yang direka untuk melindungi data pengguna dan aplikasi lain pada peranti.

Bagaimana pula dengan kemas kini untuk membaiki Stagefright?

Kami akan memerlukan kemas kini sistem untuk benar-benar patch ini. Dalam "Kumpulan Keselamatan Android" yang baru dalam buletin 12 Ogos. Google mengeluarkan "buletin keselamatan Nexus" yang memperincikan perkara dari hujungnya. Terdapat butiran mengenai pelbagai CVEs (Kerentanan Umum dan Pendedahan), termasuk apabila rakan kongsi diberitahu (seawal 10 April, untuk satu), yang membetulkan pembetulan Android (Android 5.1.1, membina LMY48I) dan sebarang faktor pengurangan lain (skim memori ASLR yang disebutkan di atas).

Google juga berkata ia mengemas kini apl Hangouts dan Messengernya supaya mereka tidak memproses mesej video secara automatik di latar belakang "supaya media tidak diluluskan secara automatik ke proses mediaserver."

Berita buruknya ialah kebanyakan orang lakukan untuk menunggu pengeluar dan pembawa untuk menolak kemas kini sistem. Tetapi, sekali lagi - ketika kita sedang berbicara seperti 900 juta telefon terdedah di luar sana, kita juga bercakap tentang kes eksploitasi sifar yang diketahui. Mereka adalah peluang yang baik.

HTC telah mengatakan kemas kini dari sini di luar akan mengandungi pembetulan. Dan CyanogenMod menggabungkan mereka sekarang juga.

Motorola mengatakan semua telefon generasi semasanya - dari Moto E hingga Moto X terbaru (dan semuanya di antara) akan ditambal, kod mana yang akan dibawa kepada syarikat penerbangan mulai 10 Ogos.

Pada 5 Ogos, Google mengeluarkan imej sistem baru untuk Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 dan Nexus 10. Google juga mengumumkan bahawa ia akan melepaskan kemas kini keselamatan bulanan untuk barisan Nexus untuk barisan Nexus. (Terbitan awam yang dibebaskan M pratonton kelihatan sudah ditambal juga.)

Dan sementara dia tidak menamakan eksploit Stagefright dengan nama, Google Adrian Ludwig pada awalnya di Google+ telah mengalamatkan eksploitasi dan keselamatan secara umum, sekali lagi mengingatkan kita tentang beberapa lapisan yang masuk ke dalam melindungi pengguna. Dia menulis:

Terdapat biasa, andaian salah bahawa sebarang bug perisian boleh menjadi eksploit keselamatan. Sebenarnya, kebanyakan bug tidak dapat dieksport dan terdapat banyak perkara yang telah dilakukan Android untuk memperbaiki kemungkinan itu. Kami telah menghabiskan 4 tahun yang lalu untuk melabur dalam teknologi yang menumpukan pada satu jenis pepijat bug - memori ingatan - dan cuba membuat pepijat itu lebih sukar untuk mengeksploitasi.