Zimperium - сім способів зламати мільярд андроїдів | Компьютерра
- Zimperium - сім способів зламати мільярд андроїдів Фахівці американо-ізраїльської фірми Zimperium...
- Zimperium - сім способів зламати мільярд андроїдів
Zimperium - сім способів зламати мільярд андроїдів
Фахівці американо-ізраїльської фірми Zimperium виявили уразливості в бібліотеці мультимедіа-движка Stagefright, які зачіпають близько мільярда пристроїв під управлінням ОС Android. Всі їх можна віддалено зламати, якщо передати зловмисно змінений мультимедійний контент. Атакуючий здатний впровадити його в документи або веб-сторінки, але найнебезпечніший сценарій взагалі не залежить від дій користувача.
Відкритий вихідний код не дає гарантій безпеки сам по собі. Це лише технічна можливість перевірити його при бажанні, але мотивація тут обернено пропорційна обсягу. Вихідний код проекту Android Open Source (AOSP) займає десятки гігабайт. Навіть при наявності професійного інтересу експерти встигають проаналізувати менш одного відсотка до того, як версія стане застарілою. Тому глибокий аналіз виконується тільки для ключових компонентів. Зазвичай це вбудовані сервіси, криптографічні засоби, браузер і файловий менеджер. Однак часом серйозні уразливості знаходяться зовсім в іншому місці.
Тригером для запуску шкідливого коду може бути будь-яка дія - від отримання MMS в Hangouts до розблокування екрану (зображення: zimperium.com).
Віце-президент Zimperium zLabs Джошуа Дрейк (Joshua Drake) виявив відразу сім критичних помилок в Stagefright - бібліотеці, яка обробляє кілька популярних медіа-форматів. Оскільки обробка мультимедіа вимагає високої швидкості, Stagefright реалізована на C ++. Ця мова дозволяє використовувати прямі інструкції для роботи з пам'яттю, на відміну від виртуализированной моделі Java. Як наслідок, при виникненні помилки у вхідних даних, програма на C ++ може привести до їх потрапляння в інші області пам'яті в обхід «пісочниці» Java і інших систем розмежування доступу.
На сьогодні як мінімум перераховані уразливості дозволяють виконати такий сценарій атаки. Це CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 і CVE-2015-3829. Всі вони дозволяють здійснити віддалене виконання довільного коду і підвищити привілеї, отримавши доступ до фронтальної і тилової камері, мікрофону, а також можливість виконувати читання і запис на карту пам'яті. Аналіз вихідного коду триває, і він напевно таїть безліч інших сюрпризів.
Небезпека тут в тому, що шкідливий код може бути доставлений на будь-який смартфон або планшет під управлінням ОС Android не тільки традиційними засобами з арсеналу spear-fishing, а й через стільникову мережу оператора в обхід антивірусних програм. Для цього потрібно знати тільки номер телефону, а кваліфікація жертви може бути будь-хто. При масовому розсиланні уразливі виявляються абсолютно все, включаючи самих експертів з безпеки і людей, що приховують свій номер. Це рідкісний випадок, коли від власника смартфона майже нічого не залежить. Просто в якийсь момент його смартфон виявляється протроянен, отримавши модифіковане MMS-повідомлення. Адресату навіть не потрібно відкривати його.
Місце StageFright в ОС Android (зображення: boundarydevices.com).
Отримавши контроль над пристроєм, шкідливий код навіть може видалити прислане MMS-повідомлення, таким чином замітаючи сліди. Якщо це станеться в момент, коли власник не дивиться на екран смартфона, то він не побачить ніяких ознак підозрілої активності.
Проблема посилюється відразу декількома факторами. По-перше, Stagefright - це компонент вбудованого сервісу, що запускається з правами системи. По-друге, він вкрай поширений. Знайдені помилки зачіпають крім ОС Android різних поколінь і інші програми, що використовують вразливу бібліотеку. Наприклад, вони стосуються також браузера Firefox (на всіх платформах, крім Linux) до версії 38. По-третє, багато операторів стільникового зв'язку автоматично підключають безкоштовну послугу прийому MMS. Налаштування висилаються при першій реєстрації SIM-карти в мережі. По-четверте, як розробник ОС Android, Google не має технічної можливості оперативно поширити виправлення знайдених помилок.
Поки термінове латання дірок робиться тільки для останніх апаратів серії Nexus. До честі Google, компанія відразу відреагувала на повідомлення Zimperium. Спільними зусиллями перший патч для Nexus 6 був готовий через 48 годин, решта з'являться найближчим часом.
StageFright player в ОС Android (зображення: (wangjw.info).
Дрейк називає виявлену уразливість найсерйознішою за весь час існування ОС «Android». За масштабами вона перевершує навіть критичну уразливість у вбудованому браузері, яку на початку минулого року виявив співробітник фірми Rapid7. її можна порівняти , Скоріше, з експлойтів для командного процесора Bash або протоколу HTTPS - Heartbleed, FREAK і LogJam.
Практично всі виробники смартфонів і планшетів використовують власні прошивки, а їх оновлення виконують самостійно. Часто варіант «по повітрю» (OTA) не працює в певному регіоні, і користувачам доводиться вручну завантажувати прошивки, відстежуючи їх поява на сайті виробника. Нову версію з виправленнями критичних вразливостей можна зовсім не дочекатися для морально застарілих моделей, підтримка яких припинена з маркетингових причин.
Подробиці дослідження будуть представлені в Лас-Вегасі: 5 серпня на конференції Black Hat і 7 серпня - на DEF CON 23. Поки лише повідомляється, що під удар потрапляють 95% власників всіх гаджетів з ОС Android, починаючи з версії 2.2. Пристрої з Android 4.4 - 5.1.1 також в зоні ризику, але технічно реалізувати на них описаний сценарій буде трохи складніше. Захищеними виявляються хіба що користувачі SilentCircle Blackphone з PrivatOS версії 1.1.7, але у них вистачає своїх специфічних проблем. Єдиний спосіб протистояти знайденим загрозам - відключити доставку MMS в налаштуваннях свого тарифного плану або зробити її неможливою інакше до установки офіційного патча.
Zimperium - сім способів зламати мільярд андроїдів
Фахівці американо-ізраїльської фірми Zimperium виявили уразливості в бібліотеці мультимедіа-движка Stagefright, які зачіпають близько мільярда пристроїв під управлінням ОС Android. Всі їх можна віддалено зламати, якщо передати зловмисно змінений мультимедійний контент. Атакуючий здатний впровадити його в документи або веб-сторінки, але найнебезпечніший сценарій взагалі не залежить від дій користувача.
Відкритий вихідний код не дає гарантій безпеки сам по собі. Це лише технічна можливість перевірити його при бажанні, але мотивація тут обернено пропорційна обсягу. Вихідний код проекту Android Open Source (AOSP) займає десятки гігабайт. Навіть при наявності професійного інтересу експерти встигають проаналізувати менш одного відсотка до того, як версія стане застарілою. Тому глибокий аналіз виконується тільки для ключових компонентів. Зазвичай це вбудовані сервіси, криптографічні засоби, браузер і файловий менеджер. Однак часом серйозні уразливості знаходяться зовсім в іншому місці.
Тригером для запуску шкідливого коду може бути будь-яка дія - від отримання MMS в Hangouts до розблокування екрану (зображення: zimperium.com).
Віце-президент Zimperium zLabs Джошуа Дрейк (Joshua Drake) виявив відразу сім критичних помилок в Stagefright - бібліотеці, яка обробляє кілька популярних медіа-форматів. Оскільки обробка мультимедіа вимагає високої швидкості, Stagefright реалізована на C ++. Ця мова дозволяє використовувати прямі інструкції для роботи з пам'яттю, на відміну від виртуализированной моделі Java. Як наслідок, при виникненні помилки у вхідних даних, програма на C ++ може привести до їх потрапляння в інші області пам'яті в обхід «пісочниці» Java і інших систем розмежування доступу.
На сьогодні як мінімум перераховані уразливості дозволяють виконати такий сценарій атаки. Це CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 і CVE-2015-3829. Всі вони дозволяють здійснити віддалене виконання довільного коду і підвищити привілеї, отримавши доступ до фронтальної і тилової камері, мікрофону, а також можливість виконувати читання і запис на карту пам'яті. Аналіз вихідного коду триває, і він напевно таїть безліч інших сюрпризів.
Небезпека тут в тому, що шкідливий код може бути доставлений на будь-який смартфон або планшет під управлінням ОС Android не тільки традиційними засобами з арсеналу spear-fishing, а й через стільникову мережу оператора в обхід антивірусних програм. Для цього потрібно знати тільки номер телефону, а кваліфікація жертви може бути будь-хто. При масовому розсиланні уразливі виявляються абсолютно все, включаючи самих експертів з безпеки і людей, що приховують свій номер. Це рідкісний випадок, коли від власника смартфона майже нічого не залежить. Просто в якийсь момент його смартфон виявляється протроянен, отримавши модифіковане MMS-повідомлення. Адресату навіть не потрібно відкривати його.
Місце StageFright в ОС Android (зображення: boundarydevices.com).
Отримавши контроль над пристроєм, шкідливий код навіть може видалити прислане MMS-повідомлення, таким чином замітаючи сліди. Якщо це станеться в момент, коли власник не дивиться на екран смартфона, то він не побачить ніяких ознак підозрілої активності.
Проблема посилюється відразу декількома факторами. По-перше, Stagefright - це компонент вбудованого сервісу, що запускається з правами системи. По-друге, він вкрай поширений. Знайдені помилки зачіпають крім ОС Android різних поколінь і інші програми, що використовують вразливу бібліотеку. Наприклад, вони стосуються також браузера Firefox (на всіх платформах, крім Linux) до версії 38. По-третє, багато операторів стільникового зв'язку автоматично підключають безкоштовну послугу прийому MMS. Налаштування висилаються при першій реєстрації SIM-карти в мережі. По-четверте, як розробник ОС Android, Google не має технічної можливості оперативно поширити виправлення знайдених помилок.
Поки термінове латання дірок робиться тільки для останніх апаратів серії Nexus. До честі Google, компанія відразу відреагувала на повідомлення Zimperium. Спільними зусиллями перший патч для Nexus 6 був готовий через 48 годин, решта з'являться найближчим часом.
StageFright player в ОС Android (зображення: (wangjw.info).
Дрейк називає виявлену уразливість найсерйознішою за весь час існування ОС «Android». За масштабами вона перевершує навіть критичну уразливість у вбудованому браузері, яку на початку минулого року виявив співробітник фірми Rapid7. її можна порівняти , Скоріше, з експлойтів для командного процесора Bash або протоколу HTTPS - Heartbleed, FREAK і LogJam.
Практично всі виробники смартфонів і планшетів використовують власні прошивки, а їх оновлення виконують самостійно. Часто варіант «по повітрю» (OTA) не працює в певному регіоні, і користувачам доводиться вручну завантажувати прошивки, відстежуючи їх поява на сайті виробника. Нову версію з виправленнями критичних вразливостей можна зовсім не дочекатися для морально застарілих моделей, підтримка яких припинена з маркетингових причин.
Подробиці дослідження будуть представлені в Лас-Вегасі: 5 серпня на конференції Black Hat і 7 серпня - на DEF CON 23. Поки лише повідомляється, що під удар потрапляють 95% власників всіх гаджетів з ОС Android, починаючи з версії 2.2. Пристрої з Android 4.4 - 5.1.1 також в зоні ризику, але технічно реалізувати на них описаний сценарій буде трохи складніше. Захищеними виявляються хіба що користувачі SilentCircle Blackphone з PrivatOS версії 1.1.7, але у них вистачає своїх специфічних проблем. Єдиний спосіб протистояти знайденим загрозам - відключити доставку MMS в налаштуваннях свого тарифного плану або зробити її неможливою інакше до установки офіційного патча.
Zimperium - сім способів зламати мільярд андроїдів
Фахівці американо-ізраїльської фірми Zimperium виявили уразливості в бібліотеці мультимедіа-движка Stagefright, які зачіпають близько мільярда пристроїв під управлінням ОС Android. Всі їх можна віддалено зламати, якщо передати зловмисно змінений мультимедійний контент. Атакуючий здатний впровадити його в документи або веб-сторінки, але найнебезпечніший сценарій взагалі не залежить від дій користувача.
Відкритий вихідний код не дає гарантій безпеки сам по собі. Це лише технічна можливість перевірити його при бажанні, але мотивація тут обернено пропорційна обсягу. Вихідний код проекту Android Open Source (AOSP) займає десятки гігабайт. Навіть при наявності професійного інтересу експерти встигають проаналізувати менш одного відсотка до того, як версія стане застарілою. Тому глибокий аналіз виконується тільки для ключових компонентів. Зазвичай це вбудовані сервіси, криптографічні засоби, браузер і файловий менеджер. Однак часом серйозні уразливості знаходяться зовсім в іншому місці.
Тригером для запуску шкідливого коду може бути будь-яка дія - від отримання MMS в Hangouts до розблокування екрану (зображення: zimperium.com).
Віце-президент Zimperium zLabs Джошуа Дрейк (Joshua Drake) виявив відразу сім критичних помилок в Stagefright - бібліотеці, яка обробляє кілька популярних медіа-форматів. Оскільки обробка мультимедіа вимагає високої швидкості, Stagefright реалізована на C ++. Ця мова дозволяє використовувати прямі інструкції для роботи з пам'яттю, на відміну від виртуализированной моделі Java. Як наслідок, при виникненні помилки у вхідних даних, програма на C ++ може привести до їх потрапляння в інші області пам'яті в обхід «пісочниці» Java і інших систем розмежування доступу.
На сьогодні як мінімум перераховані уразливості дозволяють виконати такий сценарій атаки. Це CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 і CVE-2015-3829. Всі вони дозволяють здійснити віддалене виконання довільного коду і підвищити привілеї, отримавши доступ до фронтальної і тилової камері, мікрофону, а також можливість виконувати читання і запис на карту пам'яті. Аналіз вихідного коду триває, і він напевно таїть безліч інших сюрпризів.
Небезпека тут в тому, що шкідливий код може бути доставлений на будь-який смартфон або планшет під управлінням ОС Android не тільки традиційними засобами з арсеналу spear-fishing, а й через стільникову мережу оператора в обхід антивірусних програм. Для цього потрібно знати тільки номер телефону, а кваліфікація жертви може бути будь-хто. При масовому розсиланні уразливі виявляються абсолютно все, включаючи самих експертів з безпеки і людей, що приховують свій номер. Це рідкісний випадок, коли від власника смартфона майже нічого не залежить. Просто в якийсь момент його смартфон виявляється протроянен, отримавши модифіковане MMS-повідомлення. Адресату навіть не потрібно відкривати його.
Місце StageFright в ОС Android (зображення: boundarydevices.com).
Отримавши контроль над пристроєм, шкідливий код навіть може видалити прислане MMS-повідомлення, таким чином замітаючи сліди. Якщо це станеться в момент, коли власник не дивиться на екран смартфона, то він не побачить ніяких ознак підозрілої активності.
Проблема посилюється відразу декількома факторами. По-перше, Stagefright - це компонент вбудованого сервісу, що запускається з правами системи. По-друге, він вкрай поширений. Знайдені помилки зачіпають крім ОС Android різних поколінь і інші програми, що використовують вразливу бібліотеку. Наприклад, вони стосуються також браузера Firefox (на всіх платформах, крім Linux) до версії 38. По-третє, багато операторів стільникового зв'язку автоматично підключають безкоштовну послугу прийому MMS. Налаштування висилаються при першій реєстрації SIM-карти в мережі. По-четверте, як розробник ОС Android, Google не має технічної можливості оперативно поширити виправлення знайдених помилок.
Поки термінове латання дірок робиться тільки для останніх апаратів серії Nexus. До честі Google, компанія відразу відреагувала на повідомлення Zimperium. Спільними зусиллями перший патч для Nexus 6 був готовий через 48 годин, решта з'являться найближчим часом.
StageFright player в ОС Android (зображення: (wangjw.info).
Дрейк називає виявлену уразливість найсерйознішою за весь час існування ОС «Android». За масштабами вона перевершує навіть критичну уразливість у вбудованому браузері, яку на початку минулого року виявив співробітник фірми Rapid7. її можна порівняти , Скоріше, з експлойтів для командного процесора Bash або протоколу HTTPS - Heartbleed, FREAK і LogJam.
Практично всі виробники смартфонів і планшетів використовують власні прошивки, а їх оновлення виконують самостійно. Часто варіант «по повітрю» (OTA) не працює в певному регіоні, і користувачам доводиться вручну завантажувати прошивки, відстежуючи їх поява на сайті виробника. Нову версію з виправленнями критичних вразливостей можна зовсім не дочекатися для морально застарілих моделей, підтримка яких припинена з маркетингових причин.
Подробиці дослідження будуть представлені в Лас-Вегасі: 5 серпня на конференції Black Hat і 7 серпня - на DEF CON 23. Поки лише повідомляється, що під удар потрапляють 95% власників всіх гаджетів з ОС Android, починаючи з версії 2.2. Пристрої з Android 4.4 - 5.1.1 також в зоні ризику, але технічно реалізувати на них описаний сценарій буде трохи складніше. Захищеними виявляються хіба що користувачі SilentCircle Blackphone з PrivatOS версії 1.1.7, але у них вистачає своїх специфічних проблем. Єдиний спосіб протистояти знайденим загрозам - відключити доставку MMS в налаштуваннях свого тарифного плану або зробити її неможливою інакше до установки офіційного патча.
