Strach (błąd) - Stagefright (bug)

Trema
Błąd sceniczny logo.png
Logo błędu biblioteki Stagefright
Identyfikator(y) CVE CVE - 2015-1538 , CVE- 2015-1539 , CVE- 2015-3824 , CVE- 2015-3826 , CVE- 2015-3827 , CVE- 2015-3828 , CVE- 2015-3829 , CVE- 2015-3864 (stagefright 1,0 )
CVE- 2015-6602 (stagefright 2,0)
Data odkrycia 27 lipca 2015 ; 6 lat temu ( 27.07.2015 )
Data łaty 3 sierpnia 2015 ; 6 lat temu ( 2015-08-03 )
Odkrywca Joshua Drake ( Zimperium )
Oprogramowanie, którego dotyczy problem Android 2.2 „Froyo” i nowsze (Stagefright 1.0),
Android 1.5 „Cupcake” do Androida 5.1 „Lollipop” (Stagefright 2.0)

Stagefright to nazwa nadana grupie z błędów oprogramowania , które wpływają na wersje 2.2 „Froyo” z Androidem systemu operacyjnego . Nazwa pochodzi z biblioteki, której dotyczy problem, która jest używana między innymi do rozpakowywania wiadomości MMS . Wykorzystanie błędu umożliwia atakującemu wykonanie dowolnych operacji na urządzeniu ofiary poprzez zdalne wykonanie kodu i eskalację uprawnień . Badacze bezpieczeństwa demonstrują błędy za pomocą dowodu koncepcji, który wysyła specjalnie spreparowane wiadomości MMS na urządzenie ofiary i w większości przypadków nie wymaga żadnych działań użytkownika końcowego po odebraniu wiadomości — użytkownik nie musi nic robić, aby „zaakceptować” exploity za pomocą błędu; dzieje się to w tle. Numer telefonu to jedyna informacja potrzebna do przeprowadzenia ataku.

Podstawowy wektor ataku wykorzystuje pewne luki związane z przepełnieniem liczb całkowitych w głównym komponencie Androida o nazwie libstagefright , który jest złożoną biblioteką oprogramowania zaimplementowaną głównie w C++ w ramach Android Open Source Project (AOSP) i używaną jako silnik zaplecza do odtwarzania różnych formatów multimedialnych, takich jak jako pliki MP4 .

Wykryte błędy zostały zaopatrzone stwardnienie luk i zagrożeń (CVE) identyfikatorów , CVE - 2015-1538 , CVE- 2015-1539 , CVE- 2015-3824 , CVE- 2015-3826 , CVE- 2015-3827 , CVE- 2015 -3828 , CVE - 2015-3829 i CVE - 2015-3864 (ten ostatni został przypisany oddzielnie od pozostałych), które są zbiorczo określane jako błąd Stagefright.

Historia

Stagefright błąd został odkryty przez Joshua Drake z Zimperium firmy ochroniarskiej i został publicznie ogłoszony po raz pierwszy w dniu 27 lipca 2015. Przed ogłoszeniem, Drake zgłosił błąd do Google w kwietniu 2015 roku, który zawierał powiązany Bugfix do jego wewnętrzne repozytoria kodu źródłowego dwa dni po zgłoszeniu. W lipcu 2015 r. Evgeny Legerov, moskiewski badacz bezpieczeństwa, ogłosił, że znalazł co najmniej dwie podobne luki dnia zerowego związane z przepełnieniem sterty w bibliotece Stagefright, twierdząc jednocześnie, że biblioteka jest już od jakiegoś czasu wykorzystywana. Legerov potwierdził również, że odkryte przez niego luki stają się niemożliwe do wykorzystania, stosując łatki przesłane przez Drake'a do Google.

Publiczne ujawnienie błędu Stagefright, zaprezentowanego przez Drake'a, miało miejsce 5 sierpnia 2015 r. na konferencji poświęconej bezpieczeństwu komputerowemu Black Hat USA oraz 7 sierpnia 2015 r. podczas zjazdu hakerów DEF CON  23 . Po ujawnieniu, 5 sierpnia 2015 r., Zimperium publicznie udostępniło kod źródłowy exploita typu „proof-of-concept”, rzeczywiste łatki do biblioteki Stagefright (chociaż łatki były już publicznie dostępne od początku maja 2015 r. w AOSP i innych otwartych repozytoria źródłowe ) oraz aplikację na Androida o nazwie „Wykrywacz Stagefright”, która sprawdza, czy urządzenie z Androidem jest podatne na błąd Stagefright.

Począwszy od 3 sierpnia 2015 roku, zaledwie kilka produkty zostały faktycznie poprawione w stosunku do błędu: Blackphone „s PrivatOS od wersji 117, nocne wersje z CyanogenMod  12.0 i 12.1, Sprint ” wariant s na Samsung Galaxy Note 4 , Moto E, G i X, Droid Maxx, Mini i Turbo oraz Mozilla Firefox od wersji 38 (oraz Firefox OS od wersji 2.2) (ta przeglądarka korzysta wewnętrznie z biblioteki Stagefright systemu Android).

13 sierpnia 2015 r. Exodus Intelligence opublikował kolejną lukę Stagefright, CVE - 2015-3864 . Ta luka nie została złagodzona przez istniejące poprawki znanych już luk. Zespół CyanogenMod opublikował informację, że poprawki dla CVE-2015-3864 zostały włączone do źródła CyanogenMod 12.1 13 sierpnia 2015 r.

1 października 2015 r. Zimperium ujawniło szczegóły kolejnych luk w zabezpieczeniach, znanych również jako Stagefright 2.0. Ta luka dotyczy specjalnie spreparowanych plików MP3 i MP4, które wykonują swój ładunek podczas odtwarzania za pomocą serwera Android Media. Luka została oznaczona identyfikatorem CVE - 2015-6602 i została znaleziona w podstawowej bibliotece systemu Android o nazwie libutils; składnik Androida, który istnieje od pierwszego wydania Androida. Android 1.5 do 5.1 jest podatny na ten nowy atak i szacuje się, że dotyczy to miliarda urządzeń.

Implikacje

Chociaż Google utrzymuje podstawową bazę kodu i oprogramowanie układowe systemu Android , za aktualizacje różnych urządzeń z Androidem odpowiadają operatorzy sieci bezprzewodowych i producenci oryginalnego sprzętu (OEM). W rezultacie propagacja poprawek na rzeczywiste urządzenia często powoduje duże opóźnienia z powodu dużej fragmentacji między producentami, wariantami urządzeń, wersjami Androida i różnymi dostosowaniami Androida wykonywanymi przez producentów; co więcej, wiele starszych lub tańszych urządzeń może w ogóle nigdy nie otrzymać zaktualizowanego oprogramowania układowego. Wiele nieobsługiwanych urządzeń musiałoby zostać zrootowanych, co narusza warunki wielu umów bezprzewodowych. Dlatego natura błędu Stagefright podkreśla trudności techniczne i organizacyjne związane z propagacją poprawek Androida.

Próbując rozwiązać problem opóźnień i problemów związanych z propagacją poprawek Androida, 1 sierpnia 2015 r. Zimperium utworzyło Zimperium Handset Alliance (ZHA) jako stowarzyszenie różnych stron zainteresowanych wymianą informacji i otrzymywaniem aktualnych aktualizacji dotyczących bezpieczeństwa systemu Android zagadnienia. Członkowie ZHA otrzymali również kod źródłowy exploita Stagefright do weryfikacji koncepcji Zimperium, zanim został on opublikowany. Od 6 sierpnia 2015 r. do ZHA dołączyło 25 największych producentów OEM urządzeń z systemem Android i operatorów sieci bezprzewodowych.

Łagodzenie

W przypadku urządzeń z niezałatanymi wersjami Androida istnieją pewne ograniczenia błędu Stagefright, w tym wyłączenie automatycznego pobierania wiadomości MMS i blokowanie odbierania wiadomości tekstowych od nieznanych nadawców. Jednak te dwa ograniczenia nie są obsługiwane we wszystkich aplikacjach MMS ( na przykład aplikacja Google Hangouts obsługuje tylko te pierwsze) i nie obejmują wszystkich możliwych wektorów ataków, które umożliwiają wykorzystanie błędu Stagefright innymi sposobami, takimi jak otwierając lub pobierając złośliwy plik multimedialny za pomocą przeglądarki internetowej urządzenia .

Początkowo sądzono, że dalsze środki łagodzące mogą pochodzić z funkcji randomizacji układu przestrzeni adresowej (ASLR), która została wprowadzona w systemie Android 4.0 „Ice Cream Sandwich” , w pełni włączona w systemie Android 4.1 „Jelly Bean” ; Wersja Androida 5.1 „Lollipop” zawiera poprawki usuwające błąd Stagefright. Niestety, późniejsze wyniki i exploity, takie jak Metaphor, które omijają ASLR, zostały odkryte w 2016 roku.

Od Androida 10 kodeki oprogramowania zostały przeniesione do ograniczonej piaskownicy, która skutecznie łagodzi to zagrożenie dla urządzeń zdolnych do uruchomienia tej wersji systemu operacyjnego.

Zobacz też

Bibliografia

Zewnętrzne linki