Android "stagefright" utnyttja: vad du behöver veta

I juli 2015 meddelade säkerhetsföretaget Zimperium att det hade upptäckt en "enhörning" av en sårbarhet i operativsystemet Android. Mer information offentliggjordes vid BlackHat-konferensen i början av augusti - men inte innan rubriker som förklarade att nästan en miljard Android-enheter potentiellt kunde tas över utan att deras användare ens visste det.

Så vad är "Stagefright"? Och behöver du oroa dig för det?

Vi uppdaterar kontinuerligt detta inlägg eftersom mer information släpps. Här är vad vi vet och vad du behöver veta.

Vad är Stagefright?

"Stagefright" är smeknamnet som ges till ett potentiellt utnyttjande som lever ganska djupt i själva Android-operativsystemet. Det viktigaste är att en video som skickats via MMS (textmeddelande) teoretiskt kan användas som en attackattack via libStageFright- mekanismen (därmed namnet "Stagefright"), vilket hjälper Android att bearbeta videofiler. Många textmeddelandeappar - Googles Hangouts-app nämndes specifikt - bearbetar automatiskt den videon så att den är klar för visning så snart du öppnar meddelandet, så att attacken teoretiskt skulle kunna hända utan att du ens vet det.

Eftersom libStageFright går tillbaka till Android 2.2 innehåller hundratals miljoner telefoner det felaktiga biblioteket.

17-18 augusti: Utnyttjanden kvar?

Precis som Google började rulla ut uppdateringar för sin Nexus-linje, publicerade Exodus-företaget ett blogginlägg snarkigt och säger att åtminstone en exploit förblev oöverträffad, vilket innebar att Google skruvade fast med koden. Den brittiska publikationen The Register citerar i en slumpmässigt skriven verk en ingenjör från Rapid7 för att säga att nästa fix kommer att komma i september säkerhetsuppdatering - en del av den nya månatliga säkerhetsuppdateringsprocessen.

Google har å sin sida ännu inte offentliggjort den senaste anspråket.

I avsaknad av ytterligare detaljer för den här är vi benägna att tro att det är värre att vi är tillbaka där vi började - att det finns brister i libStageFight, men att det finns andra säkerhetslager som bör mildra möjligheten för enheter faktiskt utnyttjas.

En augusti 18. Trend Micro publicerade ett blogginlägg om en annan brist i libStageFright. Den sa att den inte hade några bevis för att denna exploatering faktiskt användes, och att Google publicerade korrigeringen till Android Open Source Project den 1 augusti.

Nya detaljer i Stagefright från och med 5 augusti

I samband med BlackHat-konferensen i Las Vegas - där fler detaljer om Stagefright-sårbarheten offentliggjordes - adresserade Google situationen specifikt, med huvudingenjör för Android-säkerhet Adrian Ludwig berättar NPR att "för närvarande har 90 procent av Android-enheter en teknik kallas ASLR aktiverad, vilket skyddar användare från problemet."

Detta är mycket i strid med den "900 miljoner Android-enheter är sårbara" som vi alla har läst. Medan vi inte kommer att komma in i ett krig av ord och pedantry över siffrorna, men Ludwig sa att enheter som kör Android 4.0 eller högre - det är cirka 95 procent av alla aktiva enheter med Google-tjänster - har skydd mot en buffertöversvämningsattack inbyggd.

ASLR (A ddress S tempo L ayout R andomization) är en metod som hindrar en angripare från pålitligt att hitta den funktion han eller hon vill försöka utnyttja genom slumpmässigt arrangemang av minnesadressutrymmen i en process. ASLR har aktiverats i standard Linux-kärnan sedan juni 2005 och lades till Android med version 4.0 (Ice Cream Sandwich).

Hur är det för en munfull?

Vad det betyder är att nyckelområdena i ett program eller en tjänst som körs inte placeras på samma plats i RAM varje gång. Att sätta saker i minnet slumpmässigt betyder att alla angripare måste gissa var de ska leta efter de data de vill utnyttja.

Detta är inte en perfekt fix, och även om en allmän skyddsmekanism är bra, behöver vi fortfarande direkta korrigeringar mot kända exploater när de uppstår. Google, Samsung (1), (2) och Alcatel har meddelat en direkt patch för stagefright, och Sony, HTC och LG säger att de kommer att släppa uppdateringspatcher i augusti.

Vem hittade detta utnyttjande?

Utnyttjandet tillkännagavs 21 juli av det mobila säkerhetsföretaget Zimperium som en del av ett tillkännagivande för sitt årliga parti på BlackHat-konferensen. Ja, du läste rätt. Denna "Mor till alla Android-sårbarheter", som Zimperium uttrycker det, tillkännagavs 21 juli (en vecka innan någon bestämde sig för att bry sig, uppenbarligen), och bara några få ord det ännu större bombskalet "På kvällen den 6 augusti kommer Zimperium att rocka Vegas-scenen! " Och du vet att det kommer att bli en raser eftersom det är "vår årliga Vegas-fest för våra favoritninjor", helt med en rockin 'hashtag och allt.

Hur utbredd är denna exploatering?

Återigen är antalet enheter med bristen i libStageFright- biblioteket i sig ganska stort, eftersom det är i själva operativsystemet. Men som Google noterat flera gånger finns det andra metoder som bör skydda din enhet. Tänk på det som säkerhet i lager.

Så borde jag oroa mig för Stagefright eller inte?

Den goda nyheten är att forskaren som upptäckte denna brist i Stagefright "inte tror att hackare ute i naturen utnyttjar den." Så det är en mycket dålig sak som uppenbarligen ingen faktiskt använder mot någon, åtminstone enligt den här personen. Och igen säger Google om du använder Android 4.0 eller högre kommer du förmodligen att vara OK.

Det betyder inte att det inte är ett dåligt potentiellt utnyttjande. Det är. Och det belyser vidare svårigheterna med att få uppdateringar som skjuts ut genom tillverkarens och transportörens ekosystem. Å andra sidan är det en potentiell väg för utnyttjande som tydligen har funnits sedan Android 2.2 - eller i princip de senaste fem åren. Det gör dig antingen till en tickande tidsbomb eller en godartad cyste, beroende på din synvinkel.

Och för sin del upprepade Google i juli till Android Central att det finns flera mekanismer för att skydda användare.

Vi tackar Joshua Drake för hans bidrag. Säkerheten för Android-användare är oerhört viktig för oss och därför svarade vi snabbt och patchar har redan tillhandahållits partners som kan tillämpas på alla enheter.

De flesta Android-enheter, inklusive alla nyare enheter, har flera tekniker som är utformade för att göra det svårare att utnyttja. Android-enheter inkluderar också en applikationssandlåda utformad för att skydda användardata och andra applikationer på enheten.

Vad sägs om uppdateringar för att fixa Stagefright?

Vi kommer att behöva systemuppdateringar för att verkligen korrigera detta. I sin nya "Android Security Group" i en 12 augusti-bulletin gav Google ut en "Nexus-säkerhetsbulletin" med detaljer från dess slut. Det finns information om flera CVE: er (gemensamma sårbarheter och exponeringar), inklusive när partner meddelades (redan 10 april för en), som bygger av fixade Android-funktioner (Android 5.1.1, build LMY48I) och alla andra förmildrande faktorer (det ovannämnda ASLR-minnesschemat).

Google sa också att det har uppdaterat sina Hangouts- och Messenger-appar så att de inte automatiskt behandlar videomeddelanden i bakgrunden "så att media inte automatiskt överförs till mediaserverprocessen."

De dåliga nyheterna är att de flesta gör för att behöva vänta på tillverkare och transportörer för att driva ut systemuppdateringar. Men igen - medan vi talar om något som 900 miljoner utsatta telefoner där ute, talar vi också noll kända fall av exploatering. Det är ganska bra odds.

HTC har sagt att uppdateringar härifrån och ut kommer att innehålla fixen. Och CyanogenMod integrerar dem nu också.

Motorola säger att alla sina nuvarande generations telefoner - från Moto E till den nyaste Moto X (och allt däremellan) kommer att lappas, vilken kod går till operatörer från och med 10 augusti.

Den 5 augusti släppte Google nya systembilder för Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 och Nexus 10. Google meddelade också att det kommer att släppa månatliga säkerhetsuppdateringar för Nexus-linjen för Nexus-linjen. (Den andra offentliggjorda M Preview-byggnaden verkar också vara korrigerad.)

Och även om han inte nämnde Stagefright-utnyttjandet med namn, hade Googles Adrian Ludwig tidigare på Google+ redan adresserat exploater och säkerhet i allmänhet, vilket påminde oss igen om de flera lagren som går att skydda användare. Han skriver:

Det finns vanliga, felaktiga antaganden att alla programvarufel kan förvandlas till ett säkerhetsutnyttjande. Faktum är att de flesta buggar inte kan utnyttjas och det finns många saker som Android har gjort för att förbättra dessa odds. Vi har spenderat de senaste fyra åren med att investera kraftigt i teknologier som är inriktade på en typ av fel - minneskorrupsbugs - och försöker göra dessa buggar svårare att utnyttja.