Szerző: Gálffy Csaba

2015. augusztus 14. 12:01

Stagefright: hibás a kiadott javítás

Hatalmas bakit vétett a Google biztonsági csapata, a Stagefright sebezhetőségre kiadott javítás hatástalan, a beiktatott extra ellenőrzés megkerülése triviális. A változók közötti konverzió tréfálta meg az elit csapatot, továbbra is sebezhető a milliárdnyi androidos telefon.

Hibás a Google által kiadott javítás a Stagefright-problémára - jelentette egy új információbiztonsággal foglalkozó csapata. Az Exodus Intelligence kutatási eredményei szerint a médiában csak Stagefright-hibaként ismert CVE-2015-3824-re kiadott javítás megkerülése triviális, így az eredeti hiba továbbra is fennáll és támadók által kiaknázható.

Előzmények

Mint arról korábban beszámoltunk, az Android egyik programozási alapkönyvtárában, a multimédiás tartalmak kezeléséért felelős Stagefright könyvtárban van súlyos programozási hiba. A sebezhetőség úgy használható ki, ha a rendszert rávesszük egy megfelelően preparált videofájl feldolgozására, adott esetben egy támadó ilyenkor (rendszerverziótól függően) akár system jogosultságot is szerezhet, ahonnan egyrészt könnyen elérhető a root jogosultság is, de önmagában is rendkívüli lehetőségeket ad a behatoló kezébe (például kommunikáció monitorozása, stb.). Az (ezúttal jogos) pánikot az váltotta ki, hogy ez a videofeldolgozási folyamat roppant egyszerűen kiváltható, elegendő egy videós MMS-t küldeni az áldozatnak, a háttérben a rendszer felhasználói beavatkozás nélkül elindítja annak feldolgozását.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A hibát megtaláló kutatókkal együtt dolgozva a Google mindössze néhány nap alatt kiadta a javítást, amely ebben az esetben a Zimperium kutatói által beküldött patch elfogadását jelentette. A Google a frissített kódot azonnal eljuttatta az androidos gyártópartnerekhez, amelyek lassan elkezdték a telepített bázis frissítését is. A Google saját hatáskörben szintén nekifogott a közvetlenül frissített telefonok és tabletek frissítésének, a szerkesztőségünkben található Nexus 5 már tegnapelőtt megkapta a biztonsági javítást.

Lámpaláz, második felvonás

A frissítés szó szerint néhány sorból áll, amely implementál egy ellenőrzést az érintett változókra és nem hagyja, hogy a probléma gyökerét jelentő puffertúlcsordulás előfordulhasson. A megoldás roppant elegáns és egyszerű, arra a Google is rábólintott 48 órán belül, és azonnal be is fogadta az Android nyílt forráskódjába.

Az új elemzés szerint azonban a frappáns megoldás egy megfelelően előkészített MP4 fájl segítségével megkerülhető. A lehetőséget hosszabban ismerteti a bejegyzés, a lényeg, hogy a típusok közötti konverzió miatt viszonylag könnyen előállítható olyan eset, amikor az alulméretezett pufferbe annál jóval nagyobb adatmennyiséget tölt be a program, ezzel pedig újra előáll az eredeti sebezhetőség.

Ha a Google sem képes rá, akkor ki?

Az Exodus bejegyzése jogosan teszi fel a kérdést, hogy ha a Google elit biztonsági csapata ilyen nevetséges hibát képes véteni, akkor milyen reményünk van arra, hogy a kevésbé kompetens vállalatok konzisztensen biztonságos szoftvereket állítsanak elő. Arra egyelőre nincs válasz, hogy a súlyos baki hogyan ment át a Google rendszerein, elképzelhető, hogy a nagy sietségben kevesen ellenőrizték a beküldött javítást, és ahogy az végigfutott a kompatibilitási teszteken, azonnal beemelték azt a forráskódba.

Paradox módon a hatástalan frissítést most is teljes sebességgel tolja a Google a közvetlen frissítésű eszközökre, a kiadott Stagefright-indikátor alkalmazások pedig a frissített telefonokat biztonságosnak is jelölik. Az egyik ilyen alkalmazást az eredeti hibát felfedező Zimperium adta ki, az exodusos kutatók most igyekeznek elérni, hogy az alkalmazás kapjon frissítést és a javítást ne kezelje csuklóból biztonságosnak.

Az új helyzet nagyon jó tesztje lesz annak, hogy a Google által beígért havi biztonsági frissítési rendszer hogyan működik majd. A kezdeményezéshez egyébként már a Samsung és az LG is csatlakozott, a többi gyártótól egyelőre nem érkezett hasonló önkéntes felelősségvállalás az eladott telefonok biztonsága kapcsán.

a címlapról