Det holder å åpne en epost med et spesielt utformet JPEG-bilde for at den omtalte Android-sårbarheten skal kunne utnyttes. (Foto: Harald Brombach)

Exif

Android-sårbarhet kan utnyttes med et enkelt bilde

Krever ingen programmering for å gjøre skade.

Google har denne uken fjernet et 50-talls sårbarheter fra Android-operativsystemet til selskapets Nexus-enheter. Mange av sårbarhetene er alvorlig, men det er spesielt én som utmerker seg ved å være svært enkel å utnytte – i alle fall i litt eldre Android-versjoner. 

Sårbarheten har ikke fått noe PR-klingende navn, men er blitt tildelt identifikatoren CVE-2016-3862

Les også: Her er enda noen Android-sårbarheter du velger å leve med

Exif-informasjonen i bildet

For å utnytte sårbarheten, holder det å sende en spesielt utformet JPEG-fil i en epost til noen med Android-enhet. Når eposten åpnes, behandles også JPEG-bildet av programvaren, og dersom bildefilen inneholder spesielt utformet Exif-informasjon, fører dette til at mobilen krasjer og starter på nytt. 

Men epost er ikke den eneste mulige angrepsvektoren. Det er mulig å utnytte alle apper som benytter den sårbare Android-komponenten, så lenge man får brukeren til å åpne den skadelige bildefilen.

Exif (Exchangeable Image File Format) er et standardisert format for metainformasjon om primært stillbilder. Dette kan inkludere informasjon om for eksempel kameradetaljer, fotograferingstidspunktet, posisjonsdata og copyright. 

Sårbarheten ble funnet på en fullt oppdatert Nexus 6P-enhet av Tim Strazzere, som er direktør for mobilforskning ved IT-sikkerhetsselskapet SentinelOne, som ikke tilbyr egne sikkerhetsløsninger til smartmobiler. 

Leste du denne? Google utvikler helt nytt operativsystem. Det er ikke Linux-basert

Enkelt å utnytte

I et intervju med Kaspersky Lab-eide Threatpost innrømmer Strazzere at han selv ikke er noen dyktig utviklere av angrepskode, og at avanserte angripere trolig vil kunne utnytte sårbarheten til å fjernkjøre kode på Android-enheter – i alle fall enheter med eldre Android-versjon uten de nyere tiltakene som i praksis kan hindre utnyttelse av mange typer sårbarheter.

Google er tydeligvis enige, siden selskapet omtaler sårbarheten som «Remote code execution vulnerability in Mediaserver», med mulighet til å kjøre vilkårlig kode i konteksten til en ikke-privilegert prosess.

jhead-biblioteket

Nøyaktig hvordan Exif-dataene må utformes for å utnytte sårbarheten, har ikke blitt offentliggjort, men til Threatpost forteller Strazzere at sårbarheten finnes i jhead-biblioteket, som i Android brukes av MediaServer-komponenten for å lese Exif-data i JPEG-bilder. 

Google har gjort mye for å forbedre Android-sikkerheten med den nye Nougat-utgaven (7.0) av operativsystemet. Blant annet har den feilbefengte MediaServer-komponenten blitt fullstendig redesignet. Men dette hjelper lite for enheter som ikke på kort sikt blir oppgradert til Nougat. 

Men for enheter som i alle fall jevnlig mottar sikkerhetsoppdateringer til Android, har Google utviklet en annen løsning. Ifølge Strazzere har det C-baserte jhead-biblioteket blitt erstattet med et nytt som er skrevet i Java. Under dette arbeidet har det blitt oppdaget flere andre feil og sårbarheter som også har blitt luket bort. 

– Jeg tror vi fortsatt kommer til å se noen feil, men de vil ikke være av kritisk alvorlighetsgrad. Dette var definitivt den rette måten å fikse dette på, sier Strazzere til Threatpost.

Brukere av Android-enheter som ikke har mottatt sikkerhetsoppdateringer jevnlig det siste året, bør vurdere å ta i bruk ytterligere sikkerhetstiltak, eventuelt å skifte ut enheten med en fra en leverandør som tilbyr slike oppdateringer.

Les også: Skal granske oppdateringspraksisen til Android-leverandører

Kommentarer (18)

Kommentarer (18)
Til toppen