29.7.2015 00:00 | MobilMania

Android obsahuje chybu vážnejšiu než Heartbleed. Týka sa miliardy zariadení

Zdroj: Zimperium

Čerstvo odhalená zraniteľnosť sa týka 95 percent Android zariadení. V bezpečí je len Blackphone a Firefox OS.

Operačný systém od Googlu trpí kritickou zraniteľnosťou. Odhalil ju viceprezident a expert bezpečnostnej firmy Zimperium, Joshua J. Drake. Chyba v systéme sa týka aj starších verzií , počínajúc Androidom 2.2 Froyo a umožňuje získanie plného prístupu k zariadeniu.

Spoločnosť na probléme upozornila na svojom blogu, viac detailov k téme priniesol web PC World.

Chyba skrytá v multimédiách

Vážne nedostatky v zdrojovom kóde (CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 a CVE-2015-3829) sa nachádzali vo frameworku nazvanom Stagefright , po ktorom bola zraniteľnosť aj pomenovaná.

fotogaléria
Tak ako v prípade Heartbleed, aj Stagefright Zdroj: Zimperium

Komponent slúži na prácu s multimédiami. Na starosti má procesy s nimi spojené, teda napríklad ich prehrávanie, vytváranie náhľadov či prácu s metadátami. Práve tieto funkcie spôsobujú, že chyba sa dá zneužiť aj bez interakcie s používateľom.

Stačí, aby zariadenie akýmkoľvek spôsobom narábalo s podvrhnutým multimediálnym súborom (napríklad jeho kopírovanie či presúvanie) a následne bude automaticky spustený ľubovoľný škodlivý kód. Pri každej ďalšej interakcii so súborom (v prípade videa napríklad jeho prehranie) je kód opätovne spustený.

Stačí telefónne číslo

Najjednoduchším spôsobom, akým zariadenie donútiť spracovať multimediálny súbor, je poslať ho prostredníctvom MMS správy. Útočníkovi tak stačí vedieť telefónne číslo cieľovej osoby.

Aplikácia, napríklad Hangouts od Googlu, následne notifikuje používateľa a pripraví náhľad správy. Práve vtedy sa spustí škodlivý kód. Pri akomkoľvek ďalšom prehratí či inom podobnom kroku, sa kód spustí znova.

fotogaléria
Spoločnosť popisuje proces, akým je možné Zdroj: Zimperium

Existujú však aj ďalšie spôsoby, ako sa „nakaziť“. Napríklad stiahnutie videa z internetu či navštívenie webovej stránky s umiestneným škodlivým obsahom.

Takmer neviditeľný

Nebezpečnou funkciou je schopnosť kódu zahladiť po sebe stopy. Stačí, aby útočník vďaka zraniteľnosti získal úplné systémové oprávnenia.

Napríklad v prípade útoku cez MMS môže záškodník zmazať správu, ktorá iniciovala spustenie škodlivého kódu. Jedinou indikáciou útoku je tak prvotná notifikácia o prijatí správy.

Joshua Drake tak načrtol modelovú situáciu podobného útoku. Hacker môže správu poslať v noci , kedy používateľ notifikáciu nepostrehne, prípadne má vypnuté zvonenia. Červ následne zahladí stopy a naďalej ponechá zariadenie napadnuté bez toho, aby v používateľovi vzbudil akékoľvek podozrenie.

Rozsah? Kritický

Chybný komponent Stagefright sa nachádza v systéme od verzie 2.2 Froyo. Firma Zimperium preto odhaduje, že zraniteľnosť sa týka až 95 percent trhu s Androidom, teda približne 950 miliónov zariadení.

Škodlivý kód pracuje s úrovňou oprávnení, ktorou v systéme disponuje samotný Stagefright. Nie vždy je tak možné získať úplné systémové práva , pretože „kompetencie“ komponentu sa v jednotlivých verziách Androidu líšia. Drake však odhaduje, že najhoršou formou zraniteľnosti je postihnutých až 50 percent smartfónov či tabletov.

Aj v prípade tých „bezpečnejších“ však útočník získa prístup prinajmenšom k mikrofónu, fotoaparátu a externému úložisku. Naopak sa nedostane k interným dátam či možnosti inštalovať aplikácie.

Čítajte aj Android obsahuje chybu vážnejšiu než Heartbleed. Týka sa miliardy zariadení

Google reagoval promptne

Závažnosť situácie si uvedomuje aj samotný Google. Informovaný bol bezpečnostnými expertmi už v apríli tohto roka, pričom Zimperium ponúklo aj riešenie, akým problém vyriešiť. Americký gigant následne implementoval záplaty do svojho systému , pričom tak urobil už v priebehu 48 hodín.

„Väčšina Android zariadení, vrátane tých nových, má viacero technológií, ktoré sú navrhnuté na to, aby spustenie exploitov sťažili. Taktiež disponujú aplikačným sandboxom, navrhnutým na ochránenie používateľských dát a iných aplikácií v zariadení,“ snaží sa Google čiastočne upokojiť situáciu.

Spoločnosť už posunula záplaty svojim hardvérovým partnerom , teda výrobcom zariadení vlastných značiek, ktorí sú zapojení do AOSP programu (Android Open Source Project). Vývojári a spoločnosti, ktorí však nie sú jeho súčasťou, k nim stále prístup nemajú. Ísť by malo napríklad o známy Cyanogen.

Čítajte aj Android obsahuje chybu vážnejšiu než Heartbleed. Týka sa miliardy zariadení

Nebezpečný už navždy

Pri takto závažnom type ohrozenia sa opäť ukazuje najväčšia slabina platformy, a to jej fragmentácia. Google síce svoj oficiálny zdrojový kód aktualizoval, no je na výrobcoch zariadení, aby záplaty implementovali do svojich softvérových distribúcií.

To môže trvať týždne či skôr mesiace. Problém však nastáva najmä u starších zariadení. Tie, staršie ako 18 mesiacov, sa zvyčajne ďalšej aktualizácie už nedočkajú. A môžeme očakávať, že tak tomu bude aj v tomto prípade.

Milióny smartfónov a tabletov tak ostane navždy nezabezpečené. Drake sa nechal počuť, že celkovo na trhu dostane záplatu iba 20 až 50 percent telefónov. No dodáva, že priblíženie k vyššiemu z dvojice čísel je skôr len zbožným prianím.

Existujú aj bezpečné alternatívy

Zimperium informuje, že niektorí malí výrobcovia už svoje systémy založené na Androide aktualizovali. Tým hlavným je spoločnosť Silent Circle, výrobca smartfónu zameraného práve na bezpečnosťBlackPhone . Záplatu obsahuje aktualizácia systému PrivateOS na verziu 1.1.7.

Čítajte aj Android obsahuje chybu vážnejšiu než Heartbleed. Týka sa miliardy zariadení

Bezpečný by mal byť aj Firefox OS od Mozilly. Bližšie nešpecifikovaným spôsobom sa zraniteľnosť údajne týkala aj jej desktopového prehliadača. Spoločnosť ho však zaplátala vo verzii 38 .

Google zatiaľ dokázal aktualizovať len svoj tabletofón Nexus 6 . A aj to neboli opravené úplne všetky nedostatky.

Viac informácií už čoskoro

Firma Zimperium zatiaľ nezverejnila detaily vytvoreného exploitu. Naopak, aktuálne sú verejne dostupné len veľmi všeobecné informácie.

Viac sa však dozvieme 5. augusta na hackerskej konferencii Black Hat, respektíve 7. augusta na obdobnej konferencii Defcon. Tam bude spoločnosť prezentovať detaily možného zneužitia zraniteľnosti.