Android 'stagefright' exploit: wat u moet weten

In juli 2015 kondigde beveiligingsbedrijf Zimperium aan dat het een "eenhoorn" van een kwetsbaarheid in het Android-besturingssysteem had ontdekt. Meer details werden publiekelijk bekendgemaakt op de BlackHat-conferentie begin augustus - maar niet voordat krantenkoppen verklaarden dat bijna een miljard Android-apparaten mogelijk kunnen worden overgenomen zonder dat hun gebruikers het weten.

Dus wat is "Stagefright"? En moet u zich daar zorgen over maken?

We werken dit bericht voortdurend bij naarmate er meer informatie wordt vrijgegeven. Dit is wat we weten en wat u moet weten.

Wat is Stagefright?

"Stagefright" is de bijnaam die wordt gegeven aan een potentiële exploit die vrij diep in het Android-besturingssysteem zelf leeft. De kern is dat een video die via MMS wordt verzonden (sms) in theorie kan worden gebruikt als een aanvalsweg via het libStageFright- mechanisme (dus de naam "Stagefright"), die Android helpt bij het verwerken van videobestanden. Veel sms-apps - de Hangouts-app van Google werd specifiek genoemd - verwerken die video automatisch zodat deze klaar is voor weergave zodra je het bericht opent, en dus zou de aanval theoretisch kunnen plaatsvinden zonder dat je het wist.

Omdat libStageFright dateert uit Android 2.2, bevatten honderden miljoenen telefoons deze gebrekkige bibliotheek.

17-18 augustus: Exploitanten blijven?

Net toen Google updates begon uit te rollen voor zijn Nexus-lijn, publiceerde het bedrijf Exodus een blogpost die griezelig zei dat ten minste één exploit ongeëvenaard bleef, wat betekent dat Google de code heeft verknald. De Britse publicatie The Register citeert een ingenieur van Rapid7 in een ronduit geschreven stuk dat de volgende oplossing zal verschijnen in de beveiligingsupdate van september - een onderdeel van het nieuwe maandelijkse beveiligingspatchproces.

Google van zijn kant moet deze laatste claim nog niet publiekelijk behandelen.

Bij gebrek aan verdere details voor deze, zijn we geneigd te geloven dat we erger zijn waar we begonnen zijn - dat er fouten zijn in libStageFight, maar dat er andere beveiligingslagen zijn die de mogelijkheid van apparaten zouden moeten verminderen daadwerkelijk uitgebuit worden.

Eén 18 augustus. Trend Micro publiceerde een blogpost over een andere fout in libStageFright. Het zei dat het geen bewijs had dat deze exploit daadwerkelijk werd gebruikt, en dat Google de patch op 1 augustus aan het Android Open Source Project publiceerde.

Nieuwe Stagefright-details vanaf 5 augustus

In combinatie met de BlackHat-conferentie in Las Vegas - waar meer details over de kwetsbaarheid van Stagefright openbaar werden gemaakt - heeft Google de situatie specifiek aangepakt, met lead engineer voor Android-beveiliging Adrian Ludwig die NPR vertelde dat "momenteel 90 procent van de Android-apparaten een technologie heeft genaamd ASLR ingeschakeld, dat gebruikers tegen het probleem beschermt."

Dit staat haaks op de lijn "900 miljoen Android-apparaten zijn kwetsbaar" die we allemaal hebben gelezen. Hoewel we niet midden in een woordenoorlog en drukte over de cijfers gaan komen, zei Ludwig dat apparaten met Android 4.0 of hoger - dat is ongeveer 95 procent van alle actieve apparaten met Google-services - bescherming hebben tegen een buffer overflow-aanval ingebouwd.

ASLR (A ddress S tempo L ayout R andomization) is een methode die een aanvaller weerhoudt om op betrouwbare wijze de functie te vinden die hij of zij wil proberen te benutten door willekeurige ordening van geheugenadresruimten van een proces. ASLR is sinds juni 2005 ingeschakeld in de standaard Linux-kernel en is toegevoegd aan Android met versie 4.0 (Ice Cream Sandwich).

Hoe is dat voor een mondvol?

Het betekent dat de belangrijkste gebieden van een programma of service die worden uitgevoerd niet elke keer op dezelfde plek in het RAM worden geplaatst. Door dingen willekeurig in het geheugen op te slaan, moet elke aanvaller raden waar hij moet zoeken naar de gegevens die hij wil gebruiken.

Dit is geen perfecte oplossing, en hoewel een algemeen beveiligingsmechanisme goed is, hebben we nog steeds directe patches nodig tegen bekende exploits wanneer ze zich voordoen. Google, Samsung (1), (2) en Alcatel hebben een directe patch voor plankenkoorts aangekondigd en Sony, HTC en LG zeggen dat ze in augustus update-patches zullen uitbrengen.

Wie heeft deze exploit gevonden?

De exploit werd op 21 juli aangekondigd door mobiel beveiligingsbedrijf Zimperium als onderdeel van een aankondiging voor zijn jaarlijkse feest op de BlackHat-conferentie. Ja, je leest het goed. Deze "Moeder van alle Android-kwetsbaarheden", zoals Zimperium het zegt, werd op 21 juli aangekondigd (een week voordat iemand blijkbaar zou schelen), en slechts een paar woorden van de nog grotere bom van "Op de avond van 6 augustus zal Zimperium rock de Vegas party scene! " En je weet dat het een rager wordt omdat het "ons jaarlijkse Vegas-feest voor onze favoriete ninja's" is, volledig met een rockende hashtag en zo.

Hoe wijd verspreid is dit misbruik?

Nogmaals, het aantal apparaten met de fout in de libStageFright- bibliotheek zelf is behoorlijk groot, omdat het in het OS zelf zit. Maar zoals Google een aantal keren heeft opgemerkt, zijn er andere methoden die uw apparaat zouden moeten beschermen. Zie het als beveiliging in lagen.

Dus moet ik me zorgen maken over Stagefright of niet?

Het goede nieuws is dat de onderzoeker die deze fout in Stagefright ontdekte "niet gelooft dat hackers in het wild deze exploiteren." Het is dus een zeer slechte zaak dat blijkbaar niemand echt tegen iemand gebruikt, althans volgens deze persoon. En nogmaals, Google zegt dat als je Android 4.0 of hoger gebruikt, het waarschijnlijk goed met je gaat.

Dat betekent niet dat het geen slechte potentiële exploit is. Het is. En het benadrukt verder de moeilijkheden om updates door het ecosysteem van de fabrikant en de aanbieder te krijgen. Aan de andere kant is het een potentiële exploitatieroute die blijkbaar al bestaat sinds Android 2.2 - of eigenlijk de afgelopen vijf jaar. Dat maakt je ofwel een tikkende tijdbom, of een goedaardige cyste, afhankelijk van je standpunt.

En op zijn beurt herhaalde Google in juli tegen Android Central dat er meerdere mechanismen zijn om gebruikers te beschermen.

We danken Joshua Drake voor zijn bijdragen. De beveiliging van Android-gebruikers is erg belangrijk voor ons en daarom hebben we snel gereageerd en patches zijn al aan partners verstrekt die op elk apparaat kunnen worden toegepast.

De meeste Android-apparaten, inclusief alle nieuwere apparaten, hebben meerdere technologieën die zijn ontworpen om exploitatie moeilijker te maken. Android-apparaten bevatten ook een toepassingssandbox die is ontworpen om gebruikersgegevens en andere toepassingen op het apparaat te beschermen.

Hoe zit het met updates om Stagefright te repareren?

We hebben systeemupdates nodig om dit echt te repareren. In zijn nieuwe "Android Security Group" in een bulletin van 12 augustus heeft Google een "Nexus-beveiligingsbulletin" uitgegeven met informatie over het einde. Er zijn details over meerdere CVE's (veelvoorkomende kwetsbaarheden en blootstellingen), inclusief wanneer partners werden geïnformeerd (bijvoorbeeld al op 10 april), welke build met Android-fixes (Android 5.1.1, build LMY48I) en andere verzachtende factoren (het eerder genoemde ASLR-geheugenschema).

Google zei ook dat het zijn Hangouts- en Messenger-apps heeft bijgewerkt, zodat ze niet automatisch videoboodschappen op de achtergrond verwerken ", zodat media niet automatisch worden doorgegeven aan het mediaserverproces".

Het slechte nieuws is dat de meeste mensen moeten wachten op de fabrikanten en providers om systeemupdates uit te sturen. Maar nogmaals - terwijl we het over 900 miljoen kwetsbare telefoons hebben, hebben we het ook over nul bekende gevallen van uitbuiting. Dat zijn behoorlijk goede kansen.

HTC heeft gezegd dat updates vanaf nu de oplossing zullen bevatten. En CyanogenMod neemt ze nu ook op.

Motorola zegt dat al zijn telefoons van de huidige generatie - van de Moto E tot de nieuwste Moto X (en alles daartussenin) zullen worden gepatcht, welke code vanaf 10 augustus naar providers gaat.

Op 5 augustus heeft Google nieuwe systeemafbeeldingen vrijgegeven voor de Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 en Nexus 10. Google heeft ook aangekondigd dat het maandelijkse beveiligingsupdates voor de Nexus-lijn voor de Nexus-lijn zal uitbrengen. (De tweede openbaar uitgebrachte M Preview-build lijkt ook al te zijn gepatcht.)

En hoewel hij de Stagefright-exploit niet bij naam noemde, had Adrian Ludwig van Google eerder op Google+ al aandacht besteed aan exploits en beveiliging in het algemeen, en ons opnieuw herinnerd aan de meerdere lagen die gaan naar het beschermen van gebruikers. Hij schrijft:

Er is een algemene, verkeerde veronderstelling dat elke softwarefout kan worden omgezet in een beveiligingsmisbruik. In feite zijn de meeste bugs niet exploiteerbaar en er zijn veel dingen die Android heeft gedaan om die kansen te verbeteren. We hebben de afgelopen 4 jaar veel geïnvesteerd in technologieën die gericht zijn op één type bug - bugs in geheugenbeschadiging - en proberen deze bugs moeilijker te exploiteren te maken.