950 milionów telefonów z Androidem można zhackować jednym MMS-em
info:niebezpiecznik.plWystarczy jeden MMS, aby przejąć kontrolę nad prawie wszystkimi z dzisiejszych smartphonów działających pod kontrolą systemu Android. Ofiara nie musi wykonywać żadnej akcji — co gorsza, nawet nie zorientuje się, że została zaatakowana, bo udany atak spowoduje skasowanie swoich śladów z telefonu ofiary…
StageFright — wystarczy, że ktoś zna twój numer telefonu
O błędzie, któremu nadano kryptonim Stagefright (tak, jest też logo!) poinformowała dziś firma Zimperium zajmująca się bezpieczeństwem mobilnym.
Techniczne szczegóły błędu i ataku zostaną ujawnione dopiero na przyszłotygodniowej konferencji Black Hat, ale już dziś sporo wiadomo, a niektórzy badacze twierdzą, że ta dziura jest największą do tej pory odkrytą w Androidzie, a niektórzy wprost nazywają ją Heartbleedem w świecie mobilnym.
Dziura znajduje się w domyślnie wykorzystywanej przez Androida bibliotece Stagefright, odpowiedzialnej za przetwarzanie multimediów. Aby wykorzystać błąd w niniejszej bibliotece, wystarczy zmusić telefon do przetworzenia odpowiednio spreparowanego pliku. Niestety najprościej można to zrobić za pomocą MMS-a (część z telefonów automatycznie przetwarza jego treść zanim pokaże użytkownikowi powiadomienie o jego otrzymaniu). To oznacza, że jedyne co musi znać atakujący, to numer telefonu ofiary.
Tu warto podkreślić, że choć wektor ataku polegający na wysłaniu MMS-a jest najlepszy (nie wymaga od ofiary żadnej akcji) to nie jest to jedyna metoda wykorzystania dziury. Błąd można oczywiście wykorzystać także poprzez zachęcenie ofiary do obejrzenia na telefonie odpowiednio spreparowanej strony WWW lub otwarcie odpowiednio zmodyfikowanego pliku
Błąd jest o tyle poważny, że ofiara nie musi wykonywać żadnej akcji. Nie trzeba w nic klikać, niczego włączać. Wystarczy, że telefon odbierze wiadomość MMS. Ataku można więc dokonać podczas snu ofiary, a po przejęciu kontroli nad telefonem “skasować” ślady włamania.
Przy pomocy błędu, bez konieczności wychodzenia z sandboksa, atakujący będzie mieć dostęp do:
dźwięku (podsłuchiwanie rozmów)
aparatu (podglądanie ofiary)
karty pamięci (wykradanie danych)
Ale na tym może się nie skończyć. Atakujący może bowiem skorzystać ze znanych root-exploitów na Androida (np. PingPongRoot, Towelroot, put_user) aby podnieść swoje uprawnienia i przechwycić dane innych zainstalowanych na telefonie aplikacji…
Które telefony i wersje Androida są podatne?
Według badaczy, wszystkie Androidy od wersji 2.2 włącznie do najnowszej są dziurawe. Na szczeście niektórzy producenci już zaczynają wypuszczać patche. Jednym z pierwszych jest Google, które co prawda poprawiło kod w swoich wewnętrznych repozytoriach, ale zanim dotrze on do telefonów użytkowników za pomocą tzw. aktualizacji firmware’u OTA (ang. over the air) minie jeszcze sporo czasu… Dodatkowo, z racji mnogości producentów i umów z operatorami, niektórzy w ogóle mogą nie doczekać się patcha (chyba że sami zrootują i zaktualizują swój telefon).
Odkrywcy błędu szacują, że podatnych na atak jest ok. 950 milionów smartphonów. W najgorszej sytuacji są ci, którzy wciąż korzystaja z Androidów poniżej wersji 4.3 (Jelly Bean) — na tych systemach nie ma bowiem dodatkowych zabezpieczeń przed exploitami, co sprawia, że atakujący może łatwiej sięgać do danych innych zainstalowanych na telefonie aplikacji.
Mam Androida — co robić, jak żyć?
Na chwilę obecną za wiele nie jesteś w stanie zrobić. Jeśli pojawi się patch — wgraj go jak najszybciej. Warto też w Google Hangouts wyłaczyć automatyczne pobieranie treści MMS-a (zachowując jednak w pamięci, że nie tylko przez MMS-y można zostać “zhackowanym”). Ci bardziej odważni mogą, jak wspomnieliśmy wcześniej, zrootować swój telefon i wgrać CyanogenModa — jego programiści poinformowali, że podatność została w nim już załatana.
Na uspokojenie dodamy, że na chwilę obecną nikt nie odnotował ataków wykorzystujących tę dziurę. Jej szczegóły znają póki co tylko badacze z Zimperium oraz zespoły bezpieczeństwa Google, BlackPhone i Mozilli.
Obawiamy się jednak, że obecne, dość szczegółowe informacje na temat podatności skłonią niektórych do jej odtworzenia, a po prezentacji na BlackHacie na pewno pojawią się gotowe do użycia exploity. Wtedy najlepiej będzie… albo przesiąść się na starą Nokię kupić iPhona. A ponieważ na iPhona też dziś znaleziono 0day’a, to zostaje Nokia
PS. Jeśli kogoś interesuje atakowanie smartphonów i obchodzenie bezpieczeństwa aplikacji mobilnych na platformach iOS i Android, to zapraszamy na nasze 2 dniowe warsztaty z bezpieczeństwa aplikacji mobilnych. Najbliższa edycja odbędzie się w Warszawie 6-7 sierpnia (zostało jeszcze 6 wolnych miejsc).
Aktualizacja 29.07.2015
Szacowaliśmy, że publiczny exploit pojawi się w okolicach konferencj BlackHat… a pojawił się dużo wcześniej, bo dziś. Evgeny Legerov udostępnił właśnie nowy dodatek VulnDisco 20.22 zawierający co najmniej 2 niezałatane jeszcze podatności w bibliotece StageFright.
Okazuje się także, że Google o błędzie wiedziało od kwietnia. Wypłaciło za niego badaczom tylko 1337 dolarów i powiadomiło producentów telefonów. Ci — jak widać — do tej pory niczego nie zrobili w tej sprawie. Internauci już żartują, że żyjemy w smutnych czasach, bo nasze Jeepy są szybciej aktualizowane niż nasze samochody… Inni idą krok dalej i wprost mówią, że jeśli zdecydowałeś się na Androida, to “jesteś albo biedny, lubisz tandetę, albo po prostu bardzo nienawidzisz Apple”.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
