Egymilliárd eszközt veszélyeztet ez a két hiba

Két olyan sérülékenységre derült fény, amelyek több mint egymilliárd androidos eszközt veszélyeztethetnek. A széles körben elérhető hibajavítások még váratnak magukra.
 

Idén nyáron egy olyan sérülékenység borzolta a kedélyeket, amely komoly kockázatot jelentett az androidos készülékek millióira nézve. A hibát a Stagefright összetevő tartalmazta, amely az Android szerves részét képezi, és elsősorban a multimédiás állományok, tartalmak feldolgozásáért felel.  A nyáron leleplezett biztonsági rést ráadásul viszonylag egyszerűen, akár különösebb felhasználói közreműködés nélkül is ki lehetett használni egyebek mellett speciálisan összeállított MMS-üzenetek révén. Ezt követően pedig a támadó emelt szintű jogosultságok mellett kompromittálhatta az áldozatául eső készüléket. Tehát Joshua Drake, a sebezhetőséget felfedező Zimperium kutatója nem véletlenül jegyezte meg, hogy ez az eddig feltárt legveszélyesebb androidos hiba. Most azonban már azt is tudjuk, hogy van legalább két másik, hasonló kockázatokat rejtő hiba is az androidos világban. A "jelenség" neve találóan Stagefright 2.0 lett.

Joshua Drake már a Stagefright első hibájának nyilvánosságra hozatalakor jelezte, hogy van még más is a tarsolyában. Mint kiderült további két sebezhetőségről is tájékoztatta a Google illetékeseit. Ugyan a hibajavítások már elkészültek, de azok a legtöbb esetben még nem állnak készen a telepítésre. A nyári sérülékenység javítására a Google mellett a gyártók is viszonylag nagy figyelmet fordítottak, de most még nagy a lemaradás. Ismét joggal valószínűsíthető, hogy a régebbi készülékek már soha nem is jutnak hozzá a szükséges frissítésekhez. Márpedig az újonnan feltárt két sebezhetőség közül az egyik az Android 5.1.1-es verzióig bezárólag az összes eddigi kiadást veszélyezteti. A másik hiba pedig az Android 5.0 megjelenésekor került az operációs rendszerbe. 

A kockázatok

Noha a Stagefright 2.0 kihasználásához szükséges exploit kódok még nem kerültek nyilvánosságra, azért a kockázatok fennállnak. Ezek között említhetjük, hogy az érintett készülékeken a támadók kiterjesztett jogosultságokhoz juthatnak, és tetszőleges kódokat futtathatnak. Emellett hozzáférhetnek az eszközökön tárolt adatokhoz, illetve állományokhoz, fényképeket vagy hangfelvételeket készíthetnek, betekintést nyerhetnek az elektronikus levelezésbe, és olvasgathatják az SMS/MMS üzeneteket. 

Támadási lehetőségek

A Stagefright 1.0 igazi veszélyét az adta, hogy akár MMS-ekkel is kihasználható volt, mivel az üzenetekben elhelyezett multimédiás tartalmakat az Android automatikusan feldolgozta. Ezért a támadások is jól automatizálhatóak voltak. Hasonló a helyzet a Stagefright 2.0 esetében is, bár Drake szerint itt a támadási vektor elsősorban a mobil webböngészőkhöz kapcsolódhat. A támadónak rá kell vennie a felhasználót, hogy látogasson meg egy adathalász, kártékony weboldalt, amely tartalmazza az exploit kódot. Ugyanakkor a hiba kihasználható közbeékelődéses károkozások során vagy akár ártalmas mobil alkalmazásokkal is.

"Ez egy nagyon rosszul megírt könyvtár" - fejtette ki véleményét Zuk Avraham, a Zimperium elnök-vezérigazgatója. "A könyvtár önmagában is elég sérülékeny, és sok kódolási hibát tartalmaz. A multimédiás tartalmak feldolgozása nem olyan biztonságos, mint amilyennek lennie kellene" - tette hozzá a szakember. Majd megemlítette, hogy a Stagefright C++ nyelven íródott, ami a biztonsági rések kiaknázását megkönnyíti. A legnagyobb gond azonban az, hogy egy nagyon széles körben használatos összetevőről van szó, ezért annak sérülékenysége megannyi más alkalmazáson keresztül kihasználhatóvá válhat.

A Zimperium tervei szerint az ingyenesen letölthető Stagefright Detector alkalmazását a jövőben is frissíteni fogja, hogy a szóban forgó sérülékenységek könnyebben legyenek detektálhatók.