Stagefright (Foto: Zimperium)

Stagefright

Det haster å fjerne Android-sårbarheter

For nå er angrepskode blitt offentliggjort.

Zimperium, selskapet som i sommer avslørte flere alvorlige sårbarheter i Stagefright-biblioteket (libstagefright.so) som benyttes av Android, offentliggjorde i går et kodeeksempel på hvordan i alle fall en av sårbarhetene kan utnyttes.

Bakgrunn: Avdekket skrekksårbarhet i Android 

Angrepsvektorer

Stagefright er et multimediebibliotek, og sårbarhetene kan utnyttes dersom en angriper kan få Android-brukere til å spille av spesielt utformede mediefiler. Spesielt multimediefiler sendt i MMS-meldinger har blitt omtalt, fordi de ofte automatisk blir omtalt. Men også avspilling av slike filer i blant annet nettlesere og lynmeldingsklienter kan innebære bruk av Stagefright.

Etter at sårbarhetene ble offentlig kjent i juli, har Google rullet ut en Android-oppdatering som har fjernet sårbarheter i Stagefright. Men det har vist seg at denne oppdateringen ikke er tilstrekkelig, noe som betyr at nok en oppdatering skal gjøres tilgjengelig i løpet av september.

Men disse tidspunktene gjelder i utgangspunktet kun for brukere av Nexus-enhetene, som får Android-oppdateringene direkte fra Google. Andre Android-enheter blir oppdatert dersom eller når det måtte passe den enkelte leverandør.

Men ifølge Zimperium skal selskapets Stagefright Detector-app registrert flere enheter som allerede har mottatt sikkerhetsoppdateringer som fjerner alle de kjente Stagefright-sårbarhetene, inkludert CVE-2015-3864.

Det finnes mange apper for MMS-meldinger til Android. Flere av disse, blant annet Google-appene Hangouts og Meldingsapp har blitt oppdatert og spiller ikke lenger automatisk av multimedieinnhold i MMS-meldinger.

Les også: Må sende ut ny sikkerhetsfiks til Android 

Ikke pålitelig

Angrepskoden som nå har blitt sluppet, er ingen universalløsning fordi den alene selv ikke er hundre prosent pålitelig på tvers av ulike enheter og Android-versjoner. Faktisk skal dette konseptbeviset bare ha blitt testet på én eneste Nexus-enhet med Android 4.0.4, som kom i mars 2012.

Sårbarheten som utnyttes i akkurat dette eksempelet, skal ikke finnes i Android 5.0 og nyere på grunn av funksjonalitet i GCC 5.0-kompilatoren som skal hindre heltallsbaserte overflytsfeil.

– Det mest positive med Stagefright-forskningen vår er oppvåkningen av økosystemet og at enhetsleverandører og mobiloperatører har innsett at de må distribuere oppdateringer raskere og oftere. Ledende bransjeleverandører har sagt klart at de har til hensikt å tilby sikkerhetsoppdateringer på månedlig basis, skriver Zimperium i en uttalelse.

Det er mulig for Android-brukere å benytte den nevne Stagefright Detector-appen til å sjekke om deres enhet fortsatt er berørt av Stagefright- sårbarhetene.

Les mer: Storoffensiv mot Stagefright-feilen 

Til toppen