Stagefright 2.0: zagrożonych jest 1,4 miliarda urządzeń z Androidem

Użytkownicy Androida nie mają łatwego życia. Dopiero co zostały upublicznione szczegóły związane z bardzo poważną i łatwą do wykorzystania luką Stagefright, a już odkryto kolejne zagrożenie. Tym razem stanowi ona problem dla aż 1,4 miliarda użytkowników, ich zaatakowanie nie jest natomiast wcale takie trudne i nie wymaga instalacji żadnych programów z niezaufanych źródeł.

Za odkrycie po raz kolejny odpowiada firma Zimperium. To właśnie jej pracownicy znaleźli błąd dotyczący obsługi wiadomości MMS, który umożliwia przesłanie odpowiednio spreparowanej wiadomości i przejęcie kontroli nad urządzeniem. Tamten błąd zagrażał 950 milionom urządzeniom… większości z nich najprawdopodobniej nadal zagraża, w świecie Androida mało kto może bowiem liczyć na aktualizacje. Teraz sprawa przedstawia się jeszcze gorzej, dotyczy większej liczby użytkowników i jest związana z obsługą plików muzycznych MP3 i przechowujących materiały wideo MP4.

Firma pozwoliła sobie na ochrzczenie znaleziska mianem Stagefright 2.0, tak naprawdę składają się na niego dwie podatności: pierwsza znajduje się w bibliotece libutils i dotyczy wszystkich urządzeń, począwszy od Androida 1.0 wydanego w 2008 roku. Druga dotyczy z kolei biblioteki libstagefright. Całość opiera się na wykorzystaniu odpowiednio spreparowanych metadanych w plikach multimedialnych. Ich wykorzystanie może doprowadzić do nieautoryzowanego wykonania zdalnego kodu. Wystarczy, że ofiara uruchomi nie tyle odtwarzanie, ile sam podgląd tego typu danych, już wtedy jest narażona na atak.

Według Zimperium cyberprzestępcy mogą ją wykorzystać na kilka możliwych sposobów. Pierwszym i zarazem najłatwiejszym jest przekonanie niczego niepodejrzewającego użytkownika do odwiedzenia strony internetowej z odpowiednią zawartością – łaty, jakie umieszczono w oficjalnych aplikacjach Google Hangouts i Messenger nie mają tu żadnego znaczenia, ryzykowne jest korzystanie z przeglądarki internetowej. Drugi sposób to wykonanie ataku MITM tj. wstrzyknięcie odpowiedniego kodu do ruchu generowanego przez przeglądarkę, gdy napastnik znajduje się w tej samej sieci co ofiara. Trzeci sposób to podesłanie odpowiedniego materiału i wykorzystanie go przeciwko odtwarzaczom lub komunikatorom, które korzystają z dziurawej biblioteki.

Jak na razie firma nie planuje upubliczniania szczegółów związanych z tym, jak można przeprowadzić udany atak. Informacje o dziurze zostały już przekazane do firmy Google i odpowiednie poprawki trafią niebawem do urządzeń z serii Nexus w ramach comiesięcznych aktualizacji bezpieczeństwa. Po opracowaniu łatki zaktualizowana zostanie za to specjalna aplikacja, która umożliwia sprawdzenie, czy nasze urządzenie jest podatne na atak. Niestety nic nie wskazuje na to, aby załatane biblioteki miały trafić do wszystkich użytkowników Androida. Jedynie nieliczni posiadacze wspomnianego 1,4 miliarda urządzeń otrzymają stosowne łatki.