Android 'stagefright' istismarı: bilmeniz gerekenler

Temmuz 2015'te, güvenlik şirketi Zimperium, Android işletim sistemindeki bir güvenlik açığının "tek boynuzlu at" ını keşfettiğini duyurdu. Ağustos ayının başlarında BlackHat konferansında daha fazla ayrıntı kamuya açıklandı - ancak yaklaşık bir milyar Android cihazının kullanıcıları bile bilmeden potansiyel olarak ele geçirilebileceğini açıklamadan önce değil.

Öyleyse "Stagefright" nedir? Ve endişelenmene gerek var mı?

Daha fazla bilgi yayınlandığından bu gönderiyi sürekli olarak güncelliyoruz. İşte bildiklerimiz ve bilmeniz gerekenler.

Stagefright Nedir?

"Stagefright", Android işletim sisteminin kendisinde oldukça derin yaşayan potansiyel bir istismara verilen takma addır. Temel nokta, MMS yoluyla gönderilen bir videonun (metin mesajı) teorik olarak, Android'in video dosyalarını işlemesine yardımcı olan libStageFright mekanizması (bu nedenle "Stagefright" adı) aracılığıyla yapılan saldırıların bir yolu olarak kullanılabileceğidir. Birçok kısa mesajlaşma uygulaması - Google'ın Hangouts uygulaması özel olarak belirtildi - bu videoyu otomatik olarak işler, böylece mesajı açtığınız anda görüntülemeye hazır olur ve böylece saldırı teorik olarak siz bile bilmeden gerçekleşebilir.

LibStageFright Android 2.2'ye geri döndüğü için, yüzlerce milyon telefon bu hatalı kütüphaneyi içeriyor.

17-18 Ağustos: Sömürgeler kalıyor mu?

Google, Nexus serisi için güncellemeler yayınlamaya başladığında, Exodus firması, Google’ın kodu bozduğunu ima ederek, en azından bir istismarın yamalı olmadığını söyleyen bir blog yazısı yayınladı. İngiltere'nin yayınlanması Kayıt, flouncly yazılmış bir parça, bir sonraki düzeltmenin Eylül ayındaki güvenlik güncellemesinde gelecek yeni bir güvenlik düzeltme işleminin bir parçası olacağını söyleyen Rapid7'den bir mühendisden alıntı yapıyor.

Google, kendi adına, bu en son iddiayı henüz halka açık bir şekilde ele almadı.

Bununla ilgili daha fazla ayrıntı yoksa, libStageFight'ta kusurlar olduğuna, daha da kötüsü başladığımıza inanmaya meyilliyiz - libStageFight'ta kusurlar olduğu, ancak cihazların olasılığını azaltacak başka güvenlik katmanları olduğuna aslında sömürülüyor.

Bir Ağustos 18. Trend Micro, libStageFright'daki başka bir kusur hakkında bir blog yazısı yayınladı. Bu istismarın gerçekten kullanıldığına dair hiçbir kanıt bulunmadığını ve Google’ın 1 Ağustos’ta Android Açık Kaynak Projesi’nin yamasını yayınladığını söyledi.

5 Ağustos itibariyle Yeni Stagefright detayları

Las Vegas'taki BlackHat konferansı ile birlikte - Stagefright'ın güvenlik açığının daha fazla ayrıntılarının kamuya açıklandığı - Google, özel olarak, Android güvenliği için baş mühendis olan Adrian Ludwig'in NPR'ye "şu anda Android cihazlarının% 90'ının teknolojisine sahip olduğunu" açıkladı ASLR etkin, kullanıcıları sorundan korur."

Bu, hepimizin okuduğu "900 milyon Android cihazı savunmasız" hattıyla başa çıkabiliyor. Numaralar üzerinden bir kelime savaşı ve soygunun ortasına girmeyecek olsak da, Ludwig'in söylediği şey Android 4.0 veya daha yüksek çalışan cihazların - Google hizmetlerine sahip tüm aktif cihazların yaklaşık yüzde 95'inin - karşı korumaya sahip olduğudur. yerleşik bir arabellek taşması saldırısı.

ASLR (Bir sohbete bağlı R ve Anlaşma), saldırganın bir işlemin hafıza adres alanlarının rastgele düzenlenmesiyle denemek ve istismar etmek istediği işlevi güvenilir bir şekilde bulmasını engelleyen bir yöntemdir. ASLR, varsayılan Linux Çekirdeğinde, Haziran 2005’ten bu yana etkinleştirildi ve Sürüm 4.0 (Dondurmalı Sandviç) içeren Android’e eklendi.

Bu bir ağız dolusu için nasıl?

Bunun anlamı, çalışan bir program veya hizmetin kilit alanlarının her seferinde RAM'de aynı yere konmamasıdır. Nesneleri rastgele hafızaya koymak, herhangi bir saldırganın, kullanmak istedikleri verileri nerede arayacaklarını tahmin etmesi gerektiği anlamına gelir.

Bu mükemmel bir çözüm değildir ve genel bir koruma mekanizması iyi olsa da, ortaya çıktıklarında bilinen istismarlara karşı doğrudan yamalara ihtiyacımız vardır. Google, Samsung (1), (2) ve Alcatel, sahne korkusu için doğrudan bir yama yaptığını açıkladı ve Sony, HTC ve LG, Ağustos ayında güncelleme yamalarını yayınlayacaklarını açıkladılar.

Bu istisnayı kim buldu?

Açık, 21 Temmuz'da mobil güvenlik firması Zimperium tarafından BlackHat konferansındaki yıllık partisinin duyurusunun bir parçası olarak ilan edildi. Evet, doğru okudunuz. Zimperium'un belirttiği gibi, bu "Tüm Android Zafiyetlerinin Annesi", 21 Temmuz'da (herkesin umursamaya karar vermeden bir hafta önce) ve sadece birkaç kelimeden daha büyük bir bomba olduğunu açıkladı. 6 Ağustos akşamı, Zimperium Vegas'taki parti sahnesini salla! " Ve bunun bir öfkeli olacağını biliyorsunuz çünkü bu "en sevdiğimiz ninjalarımız için yıllık Vegas partimiz", tamamen sallanan bir etiket ve her şey.

Bu istismar ne kadar yaygın?

Yine, libStageFright kütüphanesindeki kusurlu cihazların sayısı oldukça fazla, çünkü işletim sisteminin kendisinde. Ancak Google tarafından birkaç kez belirtildiği gibi, cihazınızı korumanız gereken başka yöntemler de vardır. Bunu katmanlarda güvenlik olarak düşünün.

Öyleyse Stagefright için endişelenmeli miyim, etmemeli miyim?

İyi haber şu ki, Stagefright'ta bu hatayı keşfeden araştırmacı, "vahşi doğada bulunan bilgisayar korsanlarının onu sömürdüğüne inanmıyor". Dolayısıyla, hiç kimse aslında hiç kimseye karşı kullanmıyor, en azından bu kişiye göre çok kötü bir şey. Ve yine, Google Android 4.0 veya daha üstünü kullanıyorsanız, muhtemelen iyi olacağınızı söylüyor.

Bu kötü bir potansiyel istismar olmadığı anlamına gelmez. Bu. Ayrıca, üretici ve taşıyıcı ekosistemi aracılığıyla güncellenen güncellemeleri alma zorluğunu da vurgulamaktadır. Öte yandan, görünüşe göre Android 2.2’den bu yana ortaya çıkmış bir sömürü için potansiyel bir yol - ya da temelde son beş yılda. Bu da sizi saatli bir bomba ya da bakış açınıza bağlı olarak iyi huylu bir kist yapar.

Ve Google’ın Temmuz ayında yaptığı açıklamada, Android Central’a kullanıcıları korumak için birçok mekanizma bulunduğunu yineledi.

Joshua Drake'e katkılarından dolayı teşekkür ediyoruz. Android kullanıcılarının güvenliği bizim için son derece önemlidir ve bu nedenle hızlı bir şekilde yanıt verdik ve herhangi bir cihaza uygulanabilecek ortaklara yamalar sağlandı.

Tüm yeni cihazlar da dahil olmak üzere çoğu Android cihaz, sömürüyü zorlaştırmak için tasarlanmış birden fazla teknolojiye sahiptir. Android cihazlar ayrıca, kullanıcı verilerini ve cihazdaki diğer uygulamaları korumak için tasarlanmış bir uygulama sanal alanı içerir.

Stagefright'ı düzeltmek için yapılan güncellemelerden ne haber?

Bunu gerçekten düzeltmek için sistem güncellemelerine ihtiyacımız olacak. Ağustos ayının 12 bültenindeki yeni "Android Güvenlik Grubu" nda, Google, başından itibaren ayrıntıları anlatan bir "Nexus güvenlik bülteni" yayınladı. Android özellikli düzeltmeler derleme (Android 5.1.1, LMY48I oluşturma) ve diğer hafifletici faktörler (Android 5.1.1, derleme LMY48I) dahil olmak üzere, ortaklara ne zaman bildirildiği (biri için 10 Nisan gibi erken) dahil olmak üzere birden fazla CVE (Ortak Güvenlik Açıkları ve Etkilenmeler) hakkında ayrıntılar vardır. Yukarıda belirtilen ASLR bellek şeması).

Google, Hangouts ve Messenger uygulamalarını da güncellediğini ve böylece "medya otomatik olarak mediaserver işlemine geçilmemesi için" arka plandaki video mesajlarını otomatik olarak işlememesi gerektiğini söyledi.

Kötü haberse, çoğu insanın sistem güncellemelerini bastırmak için üreticileri ve taşıyıcıları beklemek zorunda kaldıkları yönünde. Fakat yine de - orada 900 milyon kadar savunmasız telefondan bahsederken, bilinen sıfır istismar durumundan da söz ediyoruz. Bunlar çok iyi ihtimaller.

HTC, buradan itibaren yapılan güncellemelerin düzeltmeyi içereceğini söyledi. Ve CyanogenMod bunları şimdi de dahil ediyor.

Motorola, mevcut nesil telefonlarının hepsinin - Moto E'den en yeni Moto X'e (ve ikisi arasındaki her şey dahil) yatacağını söylüyor; bu kod 10 Ağustos'tan itibaren taşıyıcılara gidiyor.

5 Ağustos’ta Google, Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 ve Nexus 10 için yeni sistem görüntüleri yayınladı. Google, Nexus hattı için Nexus hattına yönelik aylık güvenlik güncellemelerini yayınlayacağını açıkladı. (Halka açık ikinci M Preview derlemesi zaten çoktan yamalı görünüyor.)

Ve Stagefright’ın sömürüsünü ismiyle isimlendirmediyse, Google’ın Google + 'da daha önce oluşturduğu Adrian Ludwig, genel olarak sömürüleri ve güvenliği ele almıştı, yine de bize kullanıcıları koruyan birçok katmanı hatırlatıyordu. O yazıyor:

Herhangi bir yazılım hatasının bir güvenlik açığından yararlanabileceği yönünde yaygın, yanlış bir varsayım vardır. Aslında, çoğu böcek sömürülemez ve Android'in bu oranları geliştirmek için yaptığı birçok şey vardır. Son 4 yılını, tek bir hata türüne odaklanmış teknolojilere yatırım yaparak geçirdik - bellek bozulma hataları - ve bu böceklerin kullanımını daha da zorlaştırmaya çalışıyoruz.