Wystarczy jeden MMS, aby przejąć kontrolę nad prawie wszystkimi z dzisiejszych smartphonów działających pod kontrolą systemu Android. Ofiara nie musi wykonywać żadnej akcji — co gorsza, nawet nie zorientuje się, że została zaatakowana, bo udany atak spowoduje skasowanie swoich śladów z telefonu ofiary…
O błędzie, któremu nadano kryptonim Stagefright (tak, jest też logo!) poinformowała dziś firma Zimperium zajmująca się bezpieczeństwem mobilnym.
Techniczne szczegóły błędu i ataku zostaną ujawnione dopiero na przyszłotygodniowej konferencji Black Hat, ale już dziś sporo wiadomo, a niektórzy twierdzą, że ta dziura jest największą do tej pory odkrytą w Androidzie i nazywają ją Heartbleedem w świecie mobilnym.
Dziura znajduje się w domyślnie wykorzystywanej przez Androida bibliotece Stagefright, odpowiedzialnej za przetwarzanie multimediów. Aby wykorzystać błąd w niniejszej bibliotece, wystarczy zmusić telefon do przetworzenia odpowiednio spreparowanego pliku. Niestety najprościej można to zrobić za pomocą MMS-a (część z telefonów automatycznie przetwarza jego treść zanim pokaże użytkownikowi powiadomienie o jego otrzymaniu). To oznacza, że jedyne co musi znać atakujący, to numer telefonu ofiary.
Tu warto podkreślić, że choć wektor ataku polegający na wysłaniu MMS-a jest najlepszy (nie wymaga od ofiary żadnej akcji) to nie jest to jedyna metoda wykorzystania dziury. Błąd można oczywiście wykorzystać także poprzez zachęcenie ofiary do obejrzenia na telefonie odpowiednio spreparowanej strony WWW lub otwarcie odpowiednio zmodyfikowanego pliku.
Błąd jest o tyle poważny, że ofiara nie musi wykonywać żadnej akcji. Nie trzeba w nic klikać, niczego włączać. Wystarczy, że telefon odbierze wiadomość MMS. Ataku można więc dokonać podczas snu ofiary, a po przejęciu kontroli nad telefonem “skasować” ślady włamania.
Przy pomocy błędu, bez konieczności wychodzenia z sandboksa, atakujący będzie mieć dostęp do:
- dźwięku (podsłuchiwanie rozmów)
- aparatu (podglądanie ofiary)
- karty pamięci (wykradanie danych)
Ale na tym może się nie skończyć. Atakujący może bowiem skorzystać ze znanych root-exploitów na Androida (np. PingPongRoot, Towelroot, put_user) aby podnieść swoje uprawnienia i przechwycić dane innych zainstalowanych na telefonie aplikacji…
Według badaczy, wszystkie Androidy od wersji 2.2 włącznie do najnowszej są dziurawe. Na szczęście niektórzy producenci już zaczynają wypuszczać patche. Jednym z pierwszych jest Google, które co prawda poprawiło kod w swoich wewnętrznych repozytoriach, ale zanim dotrze on do telefonów użytkowników za pomocą tzw. aktualizacji firmware’u OTA (ang. over the air) minie jeszcze sporo czasu… Dodatkowo, z racji mnogości producentów i umów z operatorami, niektórzy w ogóle mogą nie doczekać się patcha (chyba że sami zrootują i zaktualizują swój telefon).
Odkrywcy błędu szacują, że podatnych na atak jest ok. 950 milionów smartphonów. W najgorszej sytuacji są ci, którzy wciąż korzystają z Androidów poniżej wersji 4.3 (Jelly Bean) — na tych systemach nie ma bowiem dodatkowych zabezpieczeń przed exploitami, co sprawia, że atakujący może łatwiej sięgać do danych innych zainstalowanych na telefonie aplikacji.
Na chwilę obecną za wiele nie jesteś w stanie zrobić. Jeśli pojawi się patch — wgraj go jak najszybciej. Warto też w Google Hangouts wyłaczyć automatyczne pobieranie treści MMS-a (zachowując jednak w pamięci, że nie tylko przez MMS-y można zostać “zhackowanym”). Ci bardziej odważni mogą, jak wspomnieliśmy wcześniej, zrootować swój telefon i wgrać CyanogenModa — jego programiści poinformowali, że podatność została w nim już załatana.
Na uspokojenie dodamy, że na chwilę obecną nikt nie odnotował ataków wykorzystujących tę dziurę. Jej szczegóły znają póki co tylko badacze z Zimperium oraz zespoły bezpieczeństwa Google, BlackPhone i Mozilli.
Obawiamy się jednak, że obecne, dość szczegółowe informacje na temat podatności skłonią niektórych do jej odtworzenia, a po prezentacji na BlackHacie na pewno pojawią się gotowe do użycia exploity.
Źródło: niebezpiecznik.pl, Zimperium, własne