95% telefonów z Androidem można zhakować MMSem i trudno się przed tym zabezpieczyć

dodał 27 lipca 2015 o 20:29 w kategorii Błędy  z tagami:
95% telefonów z Androidem można zhakować MMSem i trudno się przed tym zabezpieczyć

Wystarczy odtworzenie odpowiednio spreparowanej wiadomości MMS by zainfekować dowolny telefon z Androidem w wersji 2.2 i nowszej. Co gorsza, by załatać tę lukę, trzeba czekać na aktualizację od producenta telefonu.

Badacze z firmy Zimperium odkryli i opisali wyjątkowo niebezpieczne błędy w większości obecnych na rynku wersji Androida. Pozwalają one atakującemu na zdalne wykonanie kodu jedynie poprzez wysłanie odpowiednio przygotowanej wiadomości MMS, która na wielu telefonach zostanie automatycznie wczytana i przetworzona. Jej uruchomienie powoduje wykonanie dowolnych poleceń, w tym na przykład usunięcie infekującej wiadomości i oddanie kontroli nad telefonem atakującemu.

Błędy w przetwarzaniu plików multimedialnych

Liczne błędy (CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829) prowadzące do nieautoryzowanego wykonania dowolnego kodu odkryto w bibliotece Stagefright, odpowiedzialnej za przetwarzanie wielu rodzajów plików multimedialnych. Biblioteka ta stanowi trwały element większości dostępnych dystrybucji Androida, w tym również najnowszych jego wersji. Jeśli masz Androida 2.2 lub nowszego (a to 95% wszystkich znajdujących się na rynku telefonów), to prawdopodobnie jest on podatny na ten atak. Niestety biblioteka ta posiada dość wysokie uprawnienia, w tym również dostępu do internetu, co daje duże możliwości atakującemu.

Co prawda do wykorzystania błędu niezbędne jest przetworzenie pliku multimedialnego, ale na przykład aplikacja Hangouts domyślnie potrafi pobrać treść MMSa i go przetworzyć, by zapisać w galerii filmów. Użytkownik nie musi odtworzyć pliku, by doszło do infekcji. Co więcej, proces przetwarzania wiadomości następuje zanim system powiadomi użytkownika o nadchodzącej wiadomości, zatem dobrze opracowany złośliwy kod może ukryć fakt jej otrzymania. W ten sposób może dojść do całkowicie niewidzialnej z punktu widzenia użytkownika infekcji. W innych aplikacjach wystarczy z reguły sam pogląd wiadomości MMS (bez uruchamiania filmu) by uruchomić złośliwy kod.

Proces infekcji według ZImperium

Proces infekcji według ZImperium

Oczywiście jest o tylko jedna z możliwości zainfekowania telefonu. Ze względu na to, że kod zawierający błędy znajduje się w kluczowych elementach systemu operacyjnego, odwołania do nich można wykorzystać chociażby z poziomu przeglądarki internetowej.

No i co teraz

Niestety sytuacja nie wygląda różowo (choć nie popadajmy od razu w czarną rozpacz). Choć Google, poinformowane przez badaczy, załatało luki w ciągu 48 godzin, to droga od repozytorium kodu Androida do telefonu w kieszeni lub ręce Czytelnika jest bardzo daleka i wymaga, by producent telefonu lub wersji systemu operacyjnego sam wprowadził zmiany w swojej dystrybucji. Niestety producenci telefonów do spółki z operatorami sieci telefonii komórkowej bardzo niechętnie i rzadko wysyłają aktualizacje, a do tego robią to tylko dla najnowszych modeli telefonów. Istnieje zatem spora szansa, że jeszcze przez wiele miesięcy jedynie niewielki odsetek telefonów zostanie załatany. Użytkownicy we własnym zakresie mogą co najwyżej próbować wyłączać automatyczne pobieranie MMSów w Hangoutach, choć eliminuje to tylko jedną z wielu metod ataku.

Jednym pozytywnym aspektem tej sprawy jest fakt, że nigdy jeszcze nie słyszeliśmy o tym, by którakolwiek z wykrytych poważnych luk w Androidzie była wykorzystywana przeciwko użytkownikom poza Chinami. Czemu? Trudno powiedzieć, być może posiadaczy telefonów z Androidem łatwiej zainfekować oferując im złośliwą aplikację, którą sami zainstalują, niż pisząc eksploity na setki modeli telefonów i ich wersji. Drugą nutką nadziei są wprowadzone od wersji 4.1 rozwiązania utrudniające działanie eksploitów, które mogą utrudnić łatwe stworzenie kodu wykorzystującego odkryte luki.

Jeśli zatem jesteście użytkownikami np. Cyanogena, spodziewamy się, że albo już został załatany, albo zostanie załatany lada moment. Również Firefox wprowadził już odpowiednie zmiany w swojej przeglądarce. Liczymy na to, że wkrótce inni dostawcy także wymyślą sposoby na ominięcie tego błędu i zdążą, zanim ktoś zacznie go wykorzystywać w złośliwym celu.