:

Szerző: Hlács Ferenc

2015. szeptember 10. 15:10

Közkézen az Android-gyilkos kód

Közzétette az androidos Stagefright sebezhetőség kihasználásához szükséges példakódot a hibát felfedező Zimperium biztonsági cég. A vállalat azért hozta nyilvánosságra a kódot, mert a Google a kijelölt határidő többszöri meghosszabbítása után sem foltozta be a telefonok millióit érintő biztonsági rést.

Az Androidot sújtó Stagefright sebezhetőséget valószínűleg keveseknek kell bemutatni. Az áprilisban, illetve májusban felfedezett, júliusban közzétett súlyos biztonsági rés a rendszer verzióit több évre visszamenőleg sújtja, a Google ráadásul még mindig nem adott ki hatásos javítást a hibára, az első javítás ugyanis hatástalannak bizonyult.

A helyzet most tovább romlik, lejárt ugyanis az az egyébként már többször meghosszabbított határidő, amelyet a sebezhetőséget felfedező Zimperium biztonsági cég adott a Google-nek a hiba befoltozására. Miután a keresőóriás, illetve gyártópartnerei nem oldották meg a problémát, a vállalat közzétette Stagefright kihasználását lehetővé tevő példakódot. Ezt felhasználva gyakorlatilag bárkinek lehetősége van androidos eszközök millióit célba vevő kártevőket létrehozni.

A biztonsági rés a nyílt forráskódú Android Stagefright nevű videófeldolgozó alrendszerében található: az itt lévő alkönyvtárakat a támadók tetszés szerint aktiválhatják, elég egy megfelelően preparált videofájlt juttatniuk a célba vett telefonra, akár egy app vagy weboldal segítségével, netán MMS-en keresztül. Utóbbihoz a támadónak mindössze a célpont telefonszámával kell tisztában lennie, ugyanis ahogy a multimédiás üzenet megérkezik az eszközre, a Stagefright működésbe lép, a hacker pedig kódfuttatási jogot nyer az okostelefonon.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A sikeres behatolás után a támadók a telefonon kedvük szerint garázdálkodhatnak, potenciálisan hívásokat, üzeneteket vagy akár GPS koordinátákat is rögzíthetnek az eszközön - hogy pontosan milyen mértékben férhetnek hozzá a készülékhez, az az adott Android verzió függvénye. A legsúlyosabban a Jelly Beant, azaz a 4.1-es verziót megelőző változatok érintettek.

A Google a hiba bejelentése után mindössze néhány nappal, augusztus elején már kiadott egy javítást - egész pontosan a Zimperium által készített patchet továbbította a rendszerét használó gyártók felé, illetve küldte ki maga is a Nexus készülékekre. Ez azonban, mint rövidesen kiderült, viszonylag könnyen kijátszható, a Stagefright sebezhetőség pedig továbbra is él. A néhány sorból álló, első körben kifejezetten elegánsnak tűnő frissítés lényegében egy ellenőrzést implementál a hibában érintett változókra, meggátolva a probléma gyökerét jelentő puffertúlcsordulást. Azonban mint utóbb kiderült, egy megfelelően preparált MP4 fájllal az ellenőrzés viszonylag egyszerűen megkerülhető.

A fenyegetés tehát továbbra is fennáll, ráadásul nem csak a különböző gyártók évek óta nem frissített leharcolt telefonjain, de az aktuális csúcsmodelleken - sőt még a közvetlenül a Google fennhatósága alatt lévő Nexusokon is. Az általa jelentett veszély pedig a használatát demonstráló, immár szabadon elérhető példakódnak köszönhetően nagyobb mint valaha. Ha eddig nem is, remélhetőleg a Google a fentiek fényében végre kiad egy - használható - javítást a biztonsági résre.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról