Sisällysluettelo:
- Mikä on Stagefright?
- 17-18 elokuu: Hyödynnetään edelleen?
- Uudet Stagefright-yksityiskohdat 5. elokuuta alkaen
- Kuka löysi tämän hyväksikäytön?
- Kuinka laaja on tämä hyväksikäyttö?
- Joten minun pitäisi huolehtia Stagefrightista vai ei?
- Entä päivitykset Stagefrightin korjaamiseksi?
Heinäkuussa 2015 turvallisuusyritys Zimperium ilmoitti löytäneensä "yksisarvisen" haavoittuvuuden Android-käyttöjärjestelmän sisällä. Lisätietoja julkaistiin julkisesti BlackHat-konferenssissa elokuun alussa - mutta ei ennen otsikoita, joissa ilmoitettiin, että lähes miljardi Android-laitetta voidaan mahdollisesti ottaa haltuunsa ilman, että käyttäjät edes tietävät sitä.
Mikä on "Stagefright"? Ja täytyykö sinun huolehtia siitä?
Päivitämme tätä viestiä jatkuvasti, kun lisätietoja vapautuu. Tässä on mitä me tiedämme ja mitä sinun täytyy tietää.
Mikä on Stagefright?
"Stagefright" on lempinimi potentiaaliselle hyväksikäyttäjälle, joka asuu melko syvällä itse Android-käyttöjärjestelmässä. Tärkeintä on, että MMS: n (tekstiviestin) välityksellä lähetettyä videota voitaisiin teoreettisesti käyttää hyökkäyksen kanavana libStageFright- mekanismin (siis "Stagefright" -nimen) kautta, joka auttaa Androidia käsittelemään videotiedostoja. Monet tekstiviestisovellukset - Googlen Hangouts-sovellus mainittiin erikseen - prosessoivat videon automaattisesti, jotta se on katselemista varten heti, kun avaat viestin, ja hyökkäys teoriassa voisi tapahtua ilman, että edes tiedät sitä.
Koska libStageFright juontaa juurensa Android 2.2: hen, sadat miljoonat puhelimet sisältävät tämän puutteellisen kirjaston.
17-18 elokuu: Hyödynnetään edelleen?
Aivan kuten Google aloitti päivitysten lähettämisen Nexus-linjaansa varten, Exodus-yritys julkaisi blogitekstin naurahtavasti sanomalla, että ainakin yksi hyväksikäyttö oli edelleen tutkimatta, mikä viittaa siihen, että Google tutustui koodiin. Ison-Britannian julkaisu The Register, hienovaraisesti kirjoitettuna kappaleena, mainitsee Rapid7: n insinöörin sanovan, että seuraava korjaus tulee syyskuun tietoturvapäivitykseen - osana uutta kuukausittaista tietoturvakorjausprosessia.
Googlen on puolestaan vielä puututtava julkisesti viimeisimpään vaatimukseen.
Koska tästä ei ole tarkempia yksityiskohtia, olemme taipuvaisia uskomaan, että pahemmassa paikassa olemme palanneet takaisin aloittamaamme - että libStageFightissa on puutteita, mutta että on myös muita tietoturvakerroksia, joiden pitäisi vähentää laitteiden mahdollisuutta todella hyödynnetään.
Eräs 18. elokuuta. Trend Micro julkaisi blogiviestin toisesta virheestä libStageFrightissa. Se ilmoitti, että sillä ei ollut todisteita tämän hyväksikäytön tosiasiallisesta käytöstä, ja että Google julkaisi korjauksen Android Open Source -projektiin 1. elokuuta.
Uudet Stagefright-yksityiskohdat 5. elokuuta alkaen
Las Vegasissa järjestetyn BlackHat-konferenssin yhteydessä - jossa Stagefright-haavoittuvuudesta annettiin lisätietoja - Google käsitteli tilannetta erityisesti Android-tietoturvan pääinsinööri Adrian Ludwig kertoen NPR: lle, että "tällä hetkellä 90 prosentilla Android-laitteista on tekniikka nimeltään ASLR käytössä, joka suojaa käyttäjiä ongelmalta."
Tämä on ristiriidassa "900 miljoonan Android-laitteen haavoittuvuuden" -rivin kanssa, jonka olemme kaikki lukeneet. Vaikka emme aio joutua keskelle sanasotaa ja numeronopeutta, Ludwig sanoi, että Android 4.0: a tai uudempaa käyttävät laitteet - noin 95 prosenttia kaikista aktiivisista laitteista, joissa on Google-palvelut - ovat suojattu sisäänrakennettu puskurin ylivuotohyökkäys.
ASLR (A- osoitteen S- tahdin L -suunnittelu) on menetelmä, joka estää hyökkääjää löytämästä luotettavasti toimintoa, jota hän haluaa kokeilla ja hyödyntää prosessin muistiosoitealueiden satunnaisella järjestelyllä. ASLR on otettu käyttöön oletus Linux-ytimessä kesäkuusta 2005 lähtien, ja se lisättiin Androidiin versiolla 4.0 (Ice Cream Sandwich).
Kuinka se on suutelulle?
Mitä se tarkoittaa, että käynnissä olevan ohjelman tai palvelun avainalueita ei ole sijoitettu RAM-muistiin aina samaan paikkaan. Asioiden asettaminen muistiin satunnaisesti tarkoittaa, että jokaisen hyökkääjän on arvattava, mistä etsiä tietoja, joita he haluavat hyödyntää.
Tämä ei ole täydellinen ratkaisu, ja vaikka yleinen suojamekanismi on hyvä, tarvitsemme silti suoria korjauksia tunnettuihin hyväksikäytöksiin, kun niitä ilmenee. Google, Samsung (1), (2) ja Alcatel ovat ilmoittaneet suorasta korjaustiedoista lavataisteluille. Sony, HTC ja LG ilmoittavat julkaisevansa päivityskorjauksia elokuussa.
Kuka löysi tämän hyväksikäytön?
Mobiiliturvayritys Zimperium ilmoitti 21. heinäkuuta hyväksikäytöstä osana ilmoitusta vuosittaiselle juhlaansa BlackHat-konferenssissa. Kyllä, luit oikein. Tämä "Kaikkien Android-haavoittuvuuksien äiti", kuten Zimperium toteaa, julkistettiin 21. heinäkuuta (viikko ennen kuin kukaan päätti hoitaa, ilmeisesti), ja vain muutamalla sanalla vielä suurempi pommi "6. elokuuta illalla, Zimperium tulee rokkaa Vegasin juhlapaikalla! " Ja tiedät, että siitä tulee rager, koska se on "meidän vuotuinen Vegas-juhlomme suosikki-ninjoihimme", täysin rockin 'hashtagin ja kaiken kanssa.
Kuinka laaja on tämä hyväksikäyttö?
Jälleen itse libStageFright- kirjaston virheellisten laitteiden määrä on melko valtava, koska se on itse käyttöjärjestelmässä. Mutta kuten Google on todennut useita kertoja, on olemassa muita menetelmiä, joiden pitäisi suojata laitettasi. Ajattele sitä kerrosten turvallisuutena.
Joten minun pitäisi huolehtia Stagefrightista vai ei?
Hyvä uutinen on, että tutkija, joka löysi tämän puutteen Stagefrightista, "ei usko, että luonnossa olevat hakkerit hyödyntävät sitä". Joten se on erittäin huono asia, jota ilmeisesti kukaan ei todellakaan käytä ketään vastaan, ainakaan tämän yhden henkilön mukaan. Ja jälleen kerran, Google sanoo, että jos käytät Android 4.0 tai uudempaa, olet todennäköisesti kunnossa.
Se ei tarkoita, että se ei ole huono potentiaalinen hyväksikäyttö. Se on. Ja se tuo edelleen esiin vaikeudet saada päivityksiä painettuina valmistajan ja kantoaallon ekosysteemin kautta. Toisaalta se on potentiaalinen hyödyntämistapa, joka on ilmeisesti ollut olemassa Android 2.2: n jälkeen - tai pohjimmiltaan viimeisten viiden vuoden aikana. Se joko tekee pisteistä aikapommin tai hyvänlaatuisen kystat, näkökulmastasi riippuen.
Google puolestaan toisti heinäkuussa Android Centralille, että käyttäjien suojelemiseksi on olemassa useita mekanismeja.
Kiitämme Joshua Drakea hänen osallistumisestaan. Android-käyttäjien turvallisuus on meille erittäin tärkeä asia, joten reagoimme nopeasti ja kumppaneille on jo toimitettu korjaustiedostoja, joita voidaan käyttää mihin tahansa laitteeseen.
Suurimmalla osalla Android-laitteita, mukaan lukien kaikki uudemmat laitteet, on useita tekniikoita, jotka on suunniteltu vaikeuttamaan hyödyntämistä. Android-laitteissa on myös sovellusten hiekkalaatikko, joka on suunniteltu suojaamaan käyttäjän tietoja ja muita laitteen sovelluksia.
Entä päivitykset Stagefrightin korjaamiseksi?
Tarvitsemme järjestelmäpäivityksiä tämän korjaamiseksi todella. Uudessa "Android Security Group" -lehdessä 12. elokuuta ilmestyneessä tiedotteessa Google julkaisi Nexus-tietoturvatiedotteen, joka sisältää yksityiskohdat asioista alusta alkaen. Tietoja monista CVE-tiedoista (yleiset haavoittuvuudet ja vastuut), mukaan lukien kun kumppaneille ilmoitettiin (jo 10. huhtikuuta yhdestä), jotka rakentavat Android-ominaisuuksilla varustetut korjaukset (Android 5.1.1, rakenna LMY48I) ja kaikki muut lieventävät tekijät (edellä mainittu ASLR-muistijärjestelmä).
Google kertoi myös päivittäneensä Hangouts- ja Messenger-sovelluksiaan, jotta ne eivät käsittele videoviestejä automaattisesti taustalla ", jotta mediaa ei siirretä automaattisesti mediapalvelimen prosessiin".
Huono uutinen on, että useimmat ihmiset tekevät joutua odottamaan valmistajia ja operaattoreita ajamaan järjestelmän päivityksiä. Mutta jälleen kerran - kun puhumme 900 miljoonasta haavoittuvasta puhelimesta, me puhumme myös nolla tunnettua hyväksikäyttötapausta. Ne ovat melko hyvät kertoimet.
HTC on sanonut, että päivitykset tästä eteenpäin sisältävät korjauksen. Ja CyanogenMod yhdistää ne myös nyt.
Motorola sanoo, että kaikki nykyisen sukupolven puhelimet - Moto E: stä uusimpaan Moto X: ään (ja kaikki niiden välillä) korjataan, mikä koodi siirtyy matkapuhelinoperaattoreille 10. elokuuta alkaen.
Google julkaisi 5. elokuuta uusia järjestelmäkuvia Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 ja Nexus 10. Google ilmoitti myös julkaisevansa kuukausittain tietoturvapäivitykset Nexus-linjalle Nexus-linjalle. (Toinen julkisesti julkaistu M Preview -kokoonpano näyttää olevan myös paikallaan.)
Ja vaikka hän ei nimennyt Stagefrightin hyväksikäyttöä nimellä, Googlen Adrian Ludwig oli aiemmin Google+ -palvelussa keskittynyt hyödyntämiseen ja turvallisuuteen yleensä, muistuttaen jälleen meitä monista tasoista, jotka käyttäjien suojelemiseen liittyvät. Hän kirjoittaa:
On yleinen, virheellinen oletus siitä, että mikä tahansa ohjelmistovirhe voidaan muuttaa tietoturvan hyväksikäyttöön. Itse asiassa suurin osa virheistä ei ole hyödynnettävissä, ja Android on tehnyt monia asioita näiden kertoimien parantamiseksi. Olemme viettäneet viimeiset 4 vuotta investoimalla voimakkaasti tekniikoihin, jotka ovat keskittyneet yhden tyyppisiin virheisiin - muistin vioittumisvirheisiin - ja yrittäneet vaikeuttaa niiden käyttöä.
![Max payne tulee vihdoin androidiin [android app review]](https://img.androidermagazine.com/img/software-reviews/981/max-payne-finally-comes-android.jpg "Max payne tulee vihdoin androidiin [android app review]")