HWSW

Stagefright: hibás a kiadott javítás

Hatalmas bakit vétett a Google biztonsági csapata, a Stagefright sebezhetőségre kiadott javítás hatástalan, a beiktatott extra ellenőrzés megkerülése triviális. A változók közötti konverzió tréfálta meg az elit csapatot, továbbra is sebezhető a milliárdnyi androidos telefon.

Hibás a Google által kiadott javítás a Stagefright-problémára - jelentette egy új információbiztonsággal foglalkozó csapata. Az Exodus Intelligence kutatási eredményei szerint [1] a médiában csak Stagefright-hibaként ismert CVE-2015-3824-re kiadott javítás megkerülése triviális, így az eredeti hiba továbbra is fennáll és támadók által kiaknázható.

Előzmények

Mint arról korábban beszámoltunk [2], az Android egyik programozási alapkönyvtárában, a multimédiás tartalmak kezeléséért felelős Stagefright könyvtárban van súlyos programozási hiba. A sebezhetőség úgy használható ki, ha a rendszert rávesszük egy megfelelően preparált videofájl feldolgozására, adott esetben egy támadó ilyenkor (rendszerverziótól függően) akár system jogosultságot is szerezhet, ahonnan egyrészt könnyen elérhető a root jogosultság is, de önmagában is rendkívüli lehetőségeket ad a behatoló kezébe (például kommunikáció monitorozása, stb.). Az (ezúttal jogos) pánikot az váltotta ki, hogy ez a videofeldolgozási folyamat roppant egyszerűen kiváltható, elegendő egy videós MMS-t küldeni az áldozatnak, a háttérben a rendszer felhasználói beavatkozás nélkül elindítja annak feldolgozását.

xA hibát megtaláló kutatókkal együtt dolgozva a Google mindössze néhány nap alatt kiadta a javítást, amely ebben az esetben a Zimperium kutatói által beküldött patch elfogadását jelentette. A Google a frissített kódot azonnal eljuttatta az androidos gyártópartnerekhez, amelyek lassan elkezdték a telepített bázis frissítését is. A Google saját hatáskörben szintén nekifogott a közvetlenül frissített telefonok és tabletek frissítésének, a szerkesztőségünkben található Nexus 5 már tegnapelőtt megkapta a biztonsági javítást.

Lámpaláz, második felvonás

A frissítés szó szerint néhány sorból áll, amely implementál egy ellenőrzést az érintett változókra és nem hagyja, hogy a probléma gyökerét jelentő puffertúlcsordulás előfordulhasson. A megoldás roppant elegáns és egyszerű, arra a Google is rábólintott 48 órán belül, és azonnal be is fogadta az Android nyílt forráskódjába.

Az új elemzés szerint [3] azonban a frappáns megoldás egy megfelelően előkészített MP4 fájl segítségével megkerülhető. A lehetőséget hosszabban ismerteti a bejegyzés, a lényeg, hogy a típusok közötti konverzió miatt viszonylag könnyen előállítható olyan eset, amikor az alulméretezett pufferbe annál jóval nagyobb adatmennyiséget tölt be a program, ezzel pedig újra előáll az eredeti sebezhetőség.

Ha a Google sem képes rá, akkor ki?

Az Exodus bejegyzése jogosan teszi fel a kérdést, hogy ha a Google elit biztonsági csapata ilyen nevetséges hibát képes véteni, akkor milyen reményünk van arra, hogy a kevésbé kompetens vállalatok konzisztensen biztonságos szoftvereket állítsanak elő. Arra egyelőre nincs válasz, hogy a súlyos baki hogyan ment át a Google rendszerein, elképzelhető, hogy a nagy sietségben kevesen ellenőrizték a beküldött javítást, és ahogy az végigfutott a kompatibilitási teszteken, azonnal beemelték azt a forráskódba.

Paradox módon a hatástalan frissítést most is teljes sebességgel tolja a Google a közvetlen frissítésű eszközökre, a kiadott Stagefright-indikátor alkalmazások pedig a frissített telefonokat biztonságosnak is jelölik. Az egyik ilyen alkalmazást az eredeti hibát felfedező Zimperium adta ki, az exodusos kutatók most igyekeznek elérni, hogy az alkalmazás kapjon frissítést és a javítást ne kezelje csuklóból biztonságosnak.

Az új helyzet nagyon jó tesztje lesz annak, hogy a Google által beígért havi biztonsági frissítési rendszer [4] hogyan működik majd. A kezdeményezéshez egyébként már a Samsung és az LG is csatlakozott, a többi gyártótól egyelőre nem érkezett hasonló önkéntes felelősségvállalás az eladott telefonok biztonsága kapcsán.

A cikkben hivatkozott linkek:
[1] http://blog.exodusintel.com/2015/08/13/stagefright-mission-accomplished/
[2] https://www.hwsw.hu/hirek/54313/android-stagefright-sebezhetoseg-biztonsag-worm-tamadas.html
[3] http://blog.exodusintel.com/2015/08/13/stagefright-mission-accomplished/
[4] https://www.hwsw.hu/hirek/54360/android-stagefright-sebezhetoseg-biztonsag-worm-tamadas-google-samsung.html
A cikk adatai:
//www.hwsw.hu/hirek/54397/android-google-biztonsag-stagefright-zimperium-exodus.html
Író: Gálffy Csaba (galffy.csaba@hwsw.hu)
Dátum: 2015. augusztus 14. 12:01
Rovat: vállalati it