Sikkerhetsselskapet Zimperium kunngjorde i går funnet av det som selskapet mener kan være den verste sårbarheten som til nå har blitt oppdaget i Android. Den finnes i et multimediebibliotek som heter Stagefright (libstagefright.so) og kan utnyttes ved hjelp av spesielt utformede mediefiler. Disse kan for eksempel inkluderes i en MMS-melding som blir sendt til enheten.
Vær forsiktig: – Elendig sikkerhet i de fleste mobilapper
MMS
Utnyttelse av sårbarheten skal ikke kreve brukerinteraksjon, og ved å utnytte andre metoder kan selv mottaket av MMS-en gjøres skjult for brukeren, ved at meldingen slettes før brukeren oppdager den.
Det vil si at angrepet kan gjøres uten at brukeren merker noe som helst. Men også andre angrepsvektorer som involverer multimediefiler, kan utnyttes.
Så langt har Zimperium i begrenset grad kommet med detaljer om sårbarhetene, som i praksis ser ut til å være sju forskjellige – alle i det samme biblioteket. Flere detaljer vil bli presentert under hacker- og sikkerhetskonferansene Black Hat USA og DEF CON 23 i neste uke.
Google: Utlyser dusør for Android-sårbarheter
Froyo og nyere
Det som likevel virker klart, er at Stagefright er et C++-basert bibliotek som ble innført med Android 2.2 (Froyo). I versjonene 4.1 (Jelly Bean) og nyere skal det dog være innført en rekke tiltak for å hindre utnyttelse av sårbarheter. I hvilken grad disse kan begrense eller stoppe angrep som utnytter Stagefright-sårbarhetene, er likevel uklart.
– De fleste Android-enheter, inkludert alle nyere enheter, har flere teknologier som er designet for å gjøre utnyttelse vanskeligere. Android-enheter inkluderer også en applikasjonssandkasse som er designet for å beskytte brukerdata og andre applikasjoner på enheten, sier Google til Fortune.
Leste du denne? Resetting av Android sletter ikke alle data
_logo.svg.png){kind=logo}
Betydelig tilgang
Til Threatpost forteller Joshua Drake, sjef for plattformforskning ved Zimperium zLabs, at Stagefright på noen enheter har tilgang til systemgruppen, som har privilegier nesten på root-nivå.
– System kjører mye forskjellig. Du vil kunne overvåke kommunikasjon på enheten og gjøre mange vemmelige ting, sier Drake. Han legger til at Android har en gruppehåndhevelse som gjør det mulig for Stagefright å koble seg til internett.
– Jeg vil helst ikke at en tjeneste som gjør risikabel prosessering skal ha internett-aksess, sier han. Han karakteriserer blant annet prosesseringen biblioteket gjør med metadataene til MPEG4-filer som aggressiv og promiskuøs.
Manuell kontroll: Bedre sikkerhet i Google Play
Varslet
Zimperium opplyser at Google har blitt varslet om sårbarhetene og at sårbarhetene allerede er blitt fjernet fra i alle fall interne utgaver av kildekoden og i Android Open Source Project – etter alt å dømme basert på patcher som Zimperium har tilbudt.
Men for de fleste av brukerne av sårbare Android-enheter, er dette til liten hjelp dersom ikke også leverandørene gjør sikkerhetsoppdateringene tilgjengelige via OTA-oppdateringer (Over the Air) til de berørte enhetene.
Til Fortune opplyser Google at patchene har blitt gjort tilgjengelige for Android-partnerne i Open Handset Alliance, og at patchene kan tas i bruk på enhver enhet. Men historien har vist at brukere av eldre eller billigere enheter ikke vil bli tilbudt slike sikkerhetsoppdateringer, og de fleste vil nok uansett måtte vente ganske lenge før en oppdatering gjøres tilgjengelig.
Omfattende rutiner: Slik blir Android-mobiler oppdatert
Firefox
Ifølge Zimperium skal patchene allerede ha blitt tatt i bruk av SilentCircle i selskapet Blackphone, men også av Mozilla i Firefox 38 og nyere for Android, som bruker Stagefright for avspilling av blant annet H.264-basert innhold.
Trolig benytter Firefox for Android en separat utgave av Stagefright-biblioteket og ikke den som følger med Android. For det er ingenting som tyder på at det er nok å installere Firefox på Android-enheten for å bli kvitt sårbarhetene.
Bakgrunn: Firefox skal få H.264-støtte
