В июле 2015 года охранная компания Zimperium объявила, что обнаружила «единорога» уязвимости в операционной системе Android. Более подробная информация была обнародована на конференции BlackHat в начале августа, но не раньше, чем в заголовках новостей, объявляющих о том, что почти миллиард Android-устройств может быть захвачен, даже если их пользователи даже не знают об этом.
Так что же такое «Stagefright»? И вам нужно беспокоиться об этом?
Мы постоянно обновляем этот пост по мере выпуска дополнительной информации. Вот что мы знаем и что вам нужно знать.
Что такое Stagefright?
«Stagefright» — это прозвище, данное потенциальному эксплойту, который живет довольно глубоко внутри самой операционной системы Android. Суть в том, что видео, отправленное через MMS (текстовое сообщение), теоретически может быть использовано как способ атаки через механизм libStageFright (таким образом, имя «Stagefright»), который помогает Android обрабатывать видеофайлы. Многие приложения для обмена текстовыми сообщениями — в частности, приложение Google Hangouts — автоматически обрабатывают это видео, чтобы оно было готово к просмотру, как только вы откроете сообщение, и, таким образом, теоретически атака может произойти даже без вашего ведома.
Поскольку libStageFright восходит к Android 2.2, сотни миллионов телефонов содержат эту некорректную библиотеку.
17-18 августа: подвиги остаются?
Как только Google начал выпускать обновления для своей линейки Nexus, фирма Exodus опубликовала в своем блоге сообщение, в котором говорится, что по крайней мере один эксплойт остался незамеченным, подразумевая, что Google облажался с кодом. В британском издании The Register , в неукоснительно написанном материале , цитируется инженер из Rapid7, который говорит, что следующее исправление выйдет в сентябрьском обновлении безопасности — части нового ежемесячного процесса обновления безопасности.
Google, со своей стороны, еще не опубликовал эту последнюю заявку.
В отсутствие каких-либо дополнительных подробностей для этого мы склонны полагать, что в худшем случае мы вернулись к тому, с чего начали — что есть недостатки в libStageFight, но есть и другие уровни безопасности, которые должны снизить вероятность устройств на самом деле эксплуатируется.
Однажды 18 августа. Trend Micro опубликовала сообщение в блоге о другом недостатке в libStageFright. В нем говорится, что у него нет доказательств того, что этот эксплойт действительно используется, и что Google опубликовал патч для Android Open Source Project 1 августа .
Новые детали Stagefright по состоянию на 5 августа
В связи с конференцией BlackHat в Лас-Вегасе, на которой было открыто обнародовано больше деталей об уязвимости Stagefright, Google специально рассмотрел ситуацию, а ведущий инженер по безопасности Android Адриан Людвиг сказал NPR, что «в настоящее время 90 процентов устройств Android имеют технологию называется ASLR включен, что защищает пользователей от проблемы «.
Это очень расходится с строкой «900 миллионов устройств Android уязвимы», которую мы все прочитали. Хотя мы не собираемся вступать в войну слов и педантизма за цифры, Людвиг говорил о том, что устройства под управлением Android 4.0 или выше — это примерно 95 процентов всех активных устройств со службами Google — имеют защиту от встроенная атака переполнения буфера.
ASLR (метод определения адресации) — это метод, который не позволяет злоумышленнику надежно найти функцию, которую он или она хочет использовать, путем случайного расположения адресных пространств памяти процесса. ASLR был включен в ядре Linux по умолчанию с июня 2005 года и был добавлен в Android с версией 4.0 ( Ice Cream Sandwich ).
Как это для глотка?
Это означает, что ключевые области выполняемой программы или службы не всегда помещаются в одно и то же место в ОЗУ. Случайное помещение в память означает, что любой злоумышленник должен угадать, где искать данные, которые он хочет использовать.
Это не идеальное решение, и хотя общий механизм защиты хорош, нам все же нужны прямые исправления от известных эксплойтов, когда они возникают. Google, Samsung (1), (2) и Alcatel объявили о прямом патче для stagefright, а Sony, HTC и LG заявили, что выпустят обновления в августе.
Кто нашел этот подвиг?
Эксплойт Zimperium объявил об уязвимости 21 июля в рамках анонса своей ежегодной вечеринки на конференции BlackHat. Да, вы правильно прочитали. Об этой «Матери всех уязвимостей Android», как говорит Zimperium, было объявлено 21 июля (очевидно, за неделю до того, как кто-то решил позаботиться о ней), и лишь несколько слов о еще большей бомбардировке «Вечером 6 августа Zimperium будет рок-вечеринка в Вегасе! « И вы знаете, что это будет разгул, потому что это «наша ежегодная вечеринка в Вегасе для наших любимых ниндзя», полностью с рок-н-хэштегом и всем прочим.
Насколько широко распространен этот подвиг?
Опять же, количество устройств с недостатком в самой библиотеке libStageFright довольно велико, потому что оно находится в самой ОС. Но, как неоднократно отмечал Google, существуют другие методы, которые должны защитить ваше устройство. Думайте об этом как о безопасности в слоях.
Так стоит ли мне беспокоиться о Stagefright или нет?
Хорошая новость заключается в том, что исследователь, обнаруживший этот недостаток в Stagefright, «не верит, что хакеры в дикой природе используют его». Так что это очень плохо, что, очевидно, никто фактически не использует против кого-либо, по крайней мере, по словам этого человека. И, опять же, Google говорит, что если вы используете Android 4.0 или выше, вы, вероятно, будете в порядке.
Это не значит, что это не плохой потенциальный подвиг. Это. Кроме того, это еще раз подчеркивает трудности получения обновлений через экосистему производителя и оператора связи. С другой стороны, это потенциальный путь для эксплойта, который, по-видимому, существует с Android 2.2 — или в основном последние пять лет. Это либо делает вас бомбой замедленного действия, либо доброкачественной кистой, в зависимости от вашей точки зрения.
И со своей стороны, Google в июле подтвердил Android Central, что существует множество механизмов для защиты пользователей.
Мы благодарим Джошуа Дрейка за его вклад. Безопасность пользователей Android чрезвычайно важна для нас, поэтому мы быстро отреагировали, и партнеры уже предоставили исправления, которые можно применить к любому устройству.
Большинство устройств Android, включая все новые устройства, имеют несколько технологий, разработанных для усложнения эксплуатации. Устройства Android также включают в себя изолированную программную среду приложений, предназначенную для защиты пользовательских данных и других приложений на устройстве.
Как насчет обновлений, чтобы исправить Stagefright?
Нам понадобятся обновления системы, чтобы действительно исправить это. В своей новой «Группе безопасности Android» в бюллетене от 12 августа Google выпустил «Бюллетень по безопасности Nexus», в котором подробно рассказывается о его конце. Имеются подробные сведения о нескольких CVE (распространенных уязвимостях и уязвимостях), в том числе о том, когда партнеры были уведомлены (не ранее 10 апреля), о какой сборке исправлений для Android (Android 5.1.1, сборка LMY48I) и о любых других смягчающих факторах ( вышеупомянутая схема памяти ASLR).
Google также заявил, что обновил свои приложения Hangouts и Messenger, чтобы они не обрабатывали видео-сообщения автоматически в фоновом режиме, «чтобы медиа не автоматически передавались процессу медиасервера».
Плохая новость заключается в том, что большинству людей приходится ждать, пока производители и операторы не выпустят обновления системы. Но, опять же, пока мы говорим о чем-то вроде 900 миллионов уязвимых телефонов, мы также говорим о ноль известных случаев эксплуатации. Это довольно хорошие шансы.
HTC сказала, что обновления будут содержать исправление. И CyanogenMod включает их и сейчас .
Motorola заявляет, что все ее телефоны нынешнего поколения — от Moto E до новейшего Moto X (и всего, что между ними) будут исправлены , и этот код будет передаваться операторам с 10 августа.
5 августа Google выпустила новые системные образы для Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 и Nexus 10. Google также объявила, что будет выпускать ежемесячные обновления безопасности для линии Nexus для линии Nexus. (Вторая публично выпущенная сборка M Preview, похоже, уже исправлена.)
И хотя он не назвал эксплойт Stagefright по имени, Адриан Людвиг из Google ранее в Google+ уже рассмотрел эксплойты и безопасность в целом , снова напомнив нам о многочисленных уровнях защиты пользователей. Он написал:
Существует распространенное ошибочное предположение, что любая программная ошибка может быть превращена в эксплойт безопасности. На самом деле, большинство ошибок не могут быть использованы, и есть много вещей, которые Android сделал, чтобы улучшить эти шансы. Мы потратили последние 4 года, вкладывая значительные средства в технологии, ориентированные на один тип ошибок — ошибки, связанные с повреждением памяти, — и пытались сделать эти ошибки более трудными для использования.
Подробнее о том, как это работает, читайте в наших вопросах и ответах по безопасности с Людвигом от Google .
Приложения детектора Stagefight
На самом деле мы не видим смысла в использовании приложения «детектор», чтобы увидеть, уязвим ли ваш телефон для эксплойта Stagefright. Но если вам нужно, есть некоторые доступные.
Мы можем заработать комиссию за покупки, используя наши ссылки. Узнайте больше