ОБНАРУЖЕН STAGEFRIGHT 2.0, MP3 И MP4 ОПАСНЫ ДЛЯ ANDROID

Тема в разделе "Новости мобильных технологий", создана пользователем лис.хвост, 2 окт 2015.

  1. лис.хвост
    Оффлайн

    лис.хвост VIP Разработчик

    Сообщения:
    630
    Симпатии:
    983
    [​IMG]

    обнаружили Stagefright 2.0 – сразу два новых бага угрожают всем пользователям Android.

    Новые уязвимости (CVE-2015-6602 и CVE-2015-3876) очень похожи наисходный Stagefright и тоже затрагивают раздел Android Media Playback Engine называющийся Stagefright. На этот раз опасность представляют файлы MP3 и MP4. Злоумышленники могут модифицировать их таким образом, что их обработка приведет к удаленному исполнению вредоносного кода на устройстве жертвы. Для срабатывания бага достаточно даже простой активации превью.

    Первой обнаруженной уязвимости (вlibutils) подвержены практически все устройства под управлением Android, начиная с версии 1 и заканчивая 5.1.1. Второй баг (в libstagefright) работает для Android 5.0 и выше.

    Так как первая версия Stagefrightпозволяла хакерам атаковать пользователей через отправку MMS-сообщений, функцию MMS в популярных приложениях (Google Hangouts, Messenger и так далее) переработали и попросту отключили. Специалисты Zimperium полагают, что теперь атак следует скорее ожидать через браузер. По мнению экспертов, сейчас у атакующих есть три пути. Первый: заманивать пользователей на свой вредоносный сайт, при помощи фишинговых ссылок, через рекламные сети и другими методами. Второй: атакующие могут находиться в той же сети, что и жертва. Это позволяет им провести инъекцию эксплоита в незашифрованный трафик, используя техники перехвата трафика (MITM). Третий: использовать сторонние приложения (медиаплееры или мессенджеры), работающие с уязвимой библиотекой.

    Представители Google уже готовят исправления для новых багов, а также спешат успокоить – по данным корпорации, случаев эксплуатации уязвимостей зафиксировано не было. Планируется, что патчи от Google войдут в состав Nexus Security Bulletin от 5 октября 2015 года.

    [​IMG]
    Распределение версий Android на рынке, статистика на сентябрь 2015 года

    Напомню, что согласно официальным данным, более 70% Android-устройств во всем мире работают под управлением устаревших версий ОС (4.4 и ниже), многие из них никогда не видели патчей вовсе. Учитывая, что обновления и исправления трудятся выпускать далеко не все производители, даже в таких серьезных случаях, как Stagefright, ситуация в целом печальная.
     
    ScriptMakeR, Kиpилл, orderman и 2 другим нравится это.
  2. лис.хвост
    Оффлайн

    лис.хвост VIP Разработчик

    Сообщения:
    630
    Симпатии:
    983
    То, что подлатали

    Google выпустила обновление для Android, которое закрывает ряд уязвимостей в различных компонентах ОС. В рамках обновленияNexus Security Bulletin — October 2015 компания исправила 30 уникальных уязвимостей, включая, уязвимость Stagefright 2.0. Уязвимости присутствуют в системном компоненте libstagefright и позволяют атакующему удаленно исполнить код в Android с максимальными привилегиями в системе.

    [​IMG]

    Новое обновление для Android уже третье по счету, в котором Google пытается избавить пользователей от уязвимостей типа Stagefright. Предыдущие обновления закрывали в Android критический для пользователей метод эксплуатации уязвимостей с использованием мультимедийного MMS-сообщения, когда ему даже не нужно открывать само сообщение, при этом эксплойт срабатывает сразу по приходу сообщения. Обновление этого месяца закрывает другой вектор эксплуатации — с использованием мобильного веб-браузера.

    Уязвимости типа RCE в системных компонентах Android очень опасны, поскольку позволяют атакующим исполнить код в системе с максимальными правами, т. е. получить полный контроль над устройством. Ниже указанные уязвимости в таких компонентах какlibstagefright, Sonivox, libutils, Skia, libFLAC относятся именно к этому типу. Как мы уже писали ранее, множественные уязвимости в библиотеке libstagefright, позволяют атакующим удаленно исполнить код на устройстве путем заманивания пользователя на проигрывание специальным образом сформированных файлов MP3 и MP4 (в контексте сервиса mediaserver). Ссылка на веб-страницу с вредоносным содержимым может быть отправлена пользователю через SMS-сообщение или электронное письмо. Почти все исправляемые уязвимости актуальны для версий Android 5.1 и ниже (все версии).

    То же самое касается других библиотек и компонентов, указанных выше (Sonivox, libutils, Skia, libFLAC), они позволяют атакующему удаленно исполнить код на устройстве пользователя с максимальными правами в системе, поскольку они используются системным сервисом mediaserver.

    [​IMG]

    Прочие уязвимости в системных компонентах могут использоваться атакующими для повышения своих привилегий в системе. Например, уязвимость в компоненте Bluetooth позволяет приложению удалять хранящиеся в памяти устройства SMS-сообщения.

    Мы рекомендуем пользователям устройств под управлением Android установить соответствующее обновление.

     
    Kиpилл нравится это.

Поделиться этой страницей