Újra támad a Stagefright
Újabb Stagefright sebezhetőséget fedeztek fel a Zimperium biztonsági cég kutatói. A több mint egymilliárd androidos okostelefont érintő biztonsági rés ezúttal speciális MP3 vagy MP4 fájlokkal használható ki - a Google a jövő héten küldi a javítást.
Nem ér véget az Andoridot sújtó Stagefright-pánik: nem elég, hogy a kritikus biztonsági hiba első javítását egyszerűen megkerülhették a támadók, a néhány héttel ezelőtt kiadott második, működő patch után a sebezhetőség újra felütötte a fejét - ezúttal az MP3, MP4 állományok feldolgozásánál. Az egyszerűen Stagefright 2.0-ként emlegetett biztonsági rést ismét a Zimperium kutatói fedezték fel, az több mint egymilliárd androidos készülékben található meg - de csak ötödükben használható ki a megtalált módszerrel.
A sebezhetőség új változata lényegében két biztonsági hibából tevődik össze: az első, CVE-2015-6602-ként jelölt rés az Android rendszerben a kezdetek óta jelenlévő libutils könyvtárban található - ezt a támadók a rendszer 5.0-s és újabb verzióiban a második buggal használhatják ki, amely a médiafájlok feldolgozására használt, hírhedt libstagefright könyvtárban található. A módszerrel a biztonsági cég szerint az Android 5.0, illetve frissebb verziókban távoli kódfuttatásra nyílik lehetőség, de a korábbi eszközök is sérülékenyek lehetnek, ha a támadónak valamilyen harmadik féltől származó alkalmazással sikerül kihasználni a sebezhető libutils függvényt.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A Stagefright új generációja a korábbi módosított MMS-ek helyett speciális MP3, illetve MP4 fájlokkal hajtható igába - ráadásul miután a sérülékenység az egyes fájlok metaadatainak feldolgozásánál jön elő, már azok tényleges megnyitása nélkül, csupán az előnézettel is aktiválható. A biztonsági szakértők azt egyelőre nem közölték, pontosan milyen jogosultságokhoz juthatnak a támadók a bugokat kihasználva.
A Zimperium a hibáról augusztus 15-én értesítette a rendszer biztonságáért felelős Android Security Teamet, a csapat pedig a cég szerint gyorsan reagált a hibára, a javítás a következő androidos biztonsági frissítéscsomaggal érkezik, várhatóan a jövő hét folyamán. A biztonsági szakértők ennek megfelelően egyelőre nem adják ki a sebezhetőség kihasználására használható mintakódot - mint tették azt az előző Stagefright javítás jelentős késése után. A patch kiadását követően a vállalat ingyenes Stagefright Detector alkalmazását is frissíti, azzal így a hiba új változatára is lehetőség lesz tesztelni a készülékeket.