Közkézen az Android-gyilkos kód
Közzétette az androidos Stagefright sebezhetőség kihasználásához szükséges példakódot a hibát felfedező Zimperium biztonsági cég. A vállalat azért hozta nyilvánosságra a kódot, mert a Google a kijelölt határidő többszöri meghosszabbítása után sem foltozta be a telefonok millióit érintő biztonsági rést.
Az Androidot sújtó Stagefright sebezhetőséget valószínűleg keveseknek kell bemutatni. Az áprilisban, illetve májusban felfedezett, júliusban közzétett súlyos biztonsági rés a rendszer verzióit több évre visszamenőleg sújtja, a Google ráadásul még mindig nem adott ki hatásos javítást a hibára, az első javítás ugyanis hatástalannak bizonyult.
A helyzet most tovább romlik, lejárt ugyanis az az egyébként már többször meghosszabbított határidő, amelyet a sebezhetőséget felfedező Zimperium biztonsági cég adott a Google-nek a hiba befoltozására. Miután a keresőóriás, illetve gyártópartnerei nem oldották meg a problémát, a vállalat közzétette Stagefright kihasználását lehetővé tevő példakódot. Ezt felhasználva gyakorlatilag bárkinek lehetősége van androidos eszközök millióit célba vevő kártevőket létrehozni.
A biztonsági rés a nyílt forráskódú Android Stagefright nevű videófeldolgozó alrendszerében található: az itt lévő alkönyvtárakat a támadók tetszés szerint aktiválhatják, elég egy megfelelően preparált videofájlt juttatniuk a célba vett telefonra, akár egy app vagy weboldal segítségével, netán MMS-en keresztül. Utóbbihoz a támadónak mindössze a célpont telefonszámával kell tisztában lennie, ugyanis ahogy a multimédiás üzenet megérkezik az eszközre, a Stagefright működésbe lép, a hacker pedig kódfuttatási jogot nyer az okostelefonon.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A sikeres behatolás után a támadók a telefonon kedvük szerint garázdálkodhatnak, potenciálisan hívásokat, üzeneteket vagy akár GPS koordinátákat is rögzíthetnek az eszközön - hogy pontosan milyen mértékben férhetnek hozzá a készülékhez, az az adott Android verzió függvénye. A legsúlyosabban a Jelly Beant, azaz a 4.1-es verziót megelőző változatok érintettek.
A Google a hiba bejelentése után mindössze néhány nappal, augusztus elején már kiadott egy javítást - egész pontosan a Zimperium által készített patchet továbbította a rendszerét használó gyártók felé, illetve küldte ki maga is a Nexus készülékekre. Ez azonban, mint rövidesen kiderült, viszonylag könnyen kijátszható, a Stagefright sebezhetőség pedig továbbra is él. A néhány sorból álló, első körben kifejezetten elegánsnak tűnő frissítés lényegében egy ellenőrzést implementál a hibában érintett változókra, meggátolva a probléma gyökerét jelentő puffertúlcsordulást. Azonban mint utóbb kiderült, egy megfelelően preparált MP4 fájllal az ellenőrzés viszonylag egyszerűen megkerülhető.
A fenyegetés tehát továbbra is fennáll, ráadásul nem csak a különböző gyártók évek óta nem frissített leharcolt telefonjain, de az aktuális csúcsmodelleken - sőt még a közvetlenül a Google fennhatósága alatt lévő Nexusokon is. Az általa jelentett veszély pedig a használatát demonstráló, immár szabadon elérhető példakódnak köszönhetően nagyobb mint valaha. Ha eddig nem is, remélhetőleg a Google a fentiek fényében végre kiad egy - használható - javítást a biztonsági résre.