Explotació "stagefright" d'Android: el que heu de saber

Al juliol de 2015, la companyia de seguretat Zimperium va anunciar que havia descobert un "unicorn" d'una vulnerabilitat dins del sistema operatiu Android. Més detalls es van divulgar públicament a la conferència de BlackHat a principis d’agost, però no abans dels titulars que declaraven que gairebé mil milions de dispositius Android podrien ser assumits sense que els usuaris ho sabessin.

Aleshores, què és "Stagefright"? I cal que us preocupeu?

Actualitzem contínuament aquesta publicació a mesura que es publiqui més informació. Aquí teniu el que sabem i el que necessiteu saber.

Què és Stagefright?

"Stagefright" és el sobrenom que se li dóna a una explotació potencial que viu bastant a fons dins del propi sistema operatiu Android. El problema és que un vídeo enviat a través de MMS (missatge de text) es podria utilitzar teòricament com a via d'atac mitjançant el mecanisme libStageFright (per tant el nom "Stagefright"), que ajuda a processar fitxers de vídeo d'Android. Moltes aplicacions de missatgeria de text (es va mencionar específicament l’aplicació Hangouts de Google) processen automàticament aquest vídeo perquè estigui llest per a la visualització tan bon punt obriu el missatge, i així l’atac es podria produir sense que ni tan sols ho sabeu.

Com que libStageFright es remunta a Android 2.2, centenars de milions de telèfons contenen aquesta biblioteca defectuosa.

17-18 d'agost: queden les explotacions?

Al mateix temps que Google va començar a publicar les actualitzacions per a la seva línia Nexus, la firma Exodus va publicar una publicació al blog de manera contundent que deia que almenys una explotació es mantenia sense controlar, cosa que va implicar que Google va carregar el codi. La publicació britànica The Register, en una obra escrita de manera fluïda, cita a un enginyer de Rapid7 que diu que la propera correcció arribarà a l’actualització de seguretat del setembre, que forma part del nou procés mensual de revisió de seguretat.

Google, per la seva banda, encara no ha contestat públicament aquesta darrera reclamació.

A falta de més detalls per a aquest tema, estem inclinats a creure que en pitjor tornem a començar on hem començat, que hi ha defectes en libStageFight, però que hi ha altres capes de seguretat que haurien de mitigar la possibilitat de dispositius. en realitat és explotada

El 18 d’agost. Trend Micro va publicar una publicació al bloc sobre un altre defecte de libStageFright. Va dir que no tenia cap evidència que s'està utilitzant realment aquesta explotació i que Google va publicar el pegat al projecte Open Source d'Android l'1 d'agost.

Els detalls de Stagefright al 5 d'agost

Juntament amb la conferència de BlackHat a Las Vegas, en què es van divulgar públicament més detalls de la vulnerabilitat de Stagefright, Google va abordar la situació específicament, amb l’enginyer principal per a la seguretat d’Android Adrian Ludwig dient a NPR que “actualment, el 90 per cent dels dispositius Android disposen d’una tecnologia. anomenat ASLR habilitat, que protegeix els usuaris del problema."

Això és molt contrari a la línia de "900 milions de dispositius Android que són vulnerables" que hem llegit tots. Tot i que no anem a entrar en una guerra de paraules i pedanteria sobre els nombres, el que deia Ludwig és que els dispositius amb Android 4.0 o superior (és a dir, aproximadament el 95 per cent de tots els dispositius actius amb serveis de Google) tenen protecció contra un atac de desbordament del buffer integrat.

ASLR (A ddress S ritme i ayomització R) és un mètode que impedeix a un atacant trobar de manera fiable la funció que vol provar i explotar mitjançant l’arranjament aleatori d’espais d’adreces de memòria d’un procés. ASLR està habilitat al nucli Linux per defecte des del juny del 2005 i es va afegir a Android amb la versió 4.0 (Ice Cream Sandwich).

Què és això per a un bocata?

El que vol dir és que les àrees clau d’un programa o servei que s’executa no es posen al mateix lloc a la memòria RAM cada cop. Introduir les coses a la memòria a l’atzar significa que qualsevol atacant ha d’endevinar on han de buscar les dades que volen explotar.

No es tracta d’una solució perfecta i, tot i que un mecanisme de protecció general és bo, encara necessitem pegats directes contra les explotacions conegudes quan es produeixen. Google, Samsung (1), (2) i Alcatel han anunciat un pegat directe per a stagefright i Sony, HTC i LG asseguren que publicaran els pegats d’actualització a l’agost.

Qui va trobar aquesta explotació?

La explotació va ser anunciada el 21 de juliol per la firma de seguretat mòbil Zimperium com a part d’un anunci per a la seva festa anual a la conferència de BlackHat. Sí, heu llegit això. Aquesta "Mare de totes les vulnerabilitats Android", tal com explica Zimperium, es va anunciar el 21 de juliol (una setmana abans que algú decidís importar-se, aparentment), i només unes paraules el bombó encara més gran de "La nit del 6 d'agost, Zimperium farà promociona l'escena de festes de Vegas! " I ja sabeu que serà una ràbia perquè és "la nostra festa anual de Vegas per als nostres ninjas favorits", completament amb un hashtag rockin 'i tot.

Quina estesa és aquesta explotació?

Un cop més, el nombre de dispositius amb defecte a la mateixa biblioteca libStageFright és bastant enorme, ja que es troba en el sistema operatiu en si. Però, com ha notat Google diverses vegades, hi ha altres mètodes que haurien de protegir el vostre dispositiu. Penseu-hi com a seguretat en capes.

Llavors, hauria de preocupar-me per Stagefright o no?

La bona notícia és que l'investigador que va descobrir aquest defecte a Stagefright "no creu que els hackers en estat salvatge l'estiguin explotant". De manera que és una cosa molt dolenta que aparentment ningú no faci servir contra ningú, almenys segons aquesta persona. I, de nou, Google diu que si utilitzeu Android 4.0 o superior, probablement anireu bé.

Això no vol dir que no sigui una mala explotació potencial. És. A més, posa de manifest les dificultats per generar actualitzacions a través de l'ecosistema fabricant i transportista. D'altra banda, és una via potencial per a l'explotació que aparentment ha existit des d'Android 2.2, o bàsicament en els últims cinc anys. Això us converteix en una bomba horària, o bé un quist benigne, segons el vostre punt de vista.

Per la seva banda, Google va reiterar al juliol d' Android Central que existeixen múltiples mecanismes per protegir els usuaris.

Agraïm a Joshua Drake per les seves aportacions. La seguretat dels usuaris d’Android és extremadament important per a nosaltres, per la qual cosa vam respondre ràpidament i ja s’han proporcionat pedaços als socis que es poden aplicar a qualsevol dispositiu.

La majoria de dispositius Android, inclosos tots els dispositius més nous, tenen diverses tecnologies dissenyades per dificultar l'explotació. Els dispositius Android també inclouen una caixa de sorra d’aplicacions dissenyada per protegir les dades dels usuaris i altres aplicacions del dispositiu.

Què passa amb les actualitzacions per solucionar Stagefright?

Necessitarem actualitzacions del sistema per combinar-ho realment. Al seu nou "Grup de seguretat d'Android" en un butlletí del 12 d'agost, Google va publicar un "butlletí de seguretat Nexus" on es detallaven les coses del seu final. Hi ha detalls sobre múltiples CVE (Vulnerabilitats i Exposicions Comuns), inclòs quan es va notificar als socis (fins al 10 d'abril, per a una), que generen solucions destacades d'Android (Android 5.1.1, build LMY48I) i qualsevol altre factor mitigador (l’esmentat esquema de memòria ASLR).

Google també va dir que ha actualitzat les seves aplicacions de Hangouts i Messenger de manera que no processin automàticament els missatges de vídeo en segon pla "de manera que el material no es passa automàticament al procés de mediador".

La mala notícia és que la majoria de les persones fan que hagin d’esperar als fabricants i als operadors per emetre les actualitzacions del sistema. Però, de nou, mentre parlem de 900 milions de telèfons vulnerables, també parlem de zero casos d'explotació coneguts. Són bones probabilitats.

HTC ha dit que les actualitzacions d'aquí en endavant contindran la correcció. I CyanogenMod també els incorpora ara.

Motorola diu que tots els seus telèfons de generació actual, des de la Moto E fins a la més nova Moto X (i tot el que hi ha entremig) seran pegats, el codi que es dirigirà a les companyies a partir del 10 d'agost.

El 5 d'agost, Google va publicar noves imatges del sistema per al Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 i Nexus 10. Google també va anunciar que publicarà actualitzacions mensuals de seguretat per a la línia Nexus per a la línia Nexus. (La segona creació de M Preview de la publicació publicada sembla que ja s'ha quedat pegada.)

I, tot i que no va posar el nom de l'explotació Stagefright pel seu nom, Google Ludwig, anteriorment a Google+, ja havia tractat les gestions i seguretat en general, recordant-nos de nou les múltiples capes que protegeixen els usuaris. Ell escriu:

Hi ha una hipòtesi freqüent que qualsevol error de programari es pot convertir en un exploit de seguretat. De fet, la majoria d’errors no són explotables i hi ha moltes coses que ha fet Android per millorar aquestes probabilitats. Hem passat els darrers quatre anys invertint molt en tecnologies centrades en un tipus d’errors (errors de corrupció de la memòria) i intentant que aquests errors siguin més difícils d’explotar.