Що таке злом “Stagefright”? Як захиститися

Більшість хакерських історій, пов’язаних з Android, переповнені технопанікою, але нещодавно виявлена помилка в інструменті відтворення мультимедійних даних Android Stagefright викликає у користувачів більше занепокоєння, ніж зазвичай.

Експлойт, про який йде мова, виникає, коли хакер надсилає MMS-повідомлення, що містить відео, яке містить код шкідливого програмного забезпечення. Найбільш тривожним є те, що жертві навіть не потрібно відкривати повідомлення або переглядати відео, щоб активувати його. Вбудований додаток Hangouts автоматично обробляє відео та зображення з MMS-повідомлень, щоб вони були готові в додатку “Галерея” телефону.

Оновлено 25.08.2015 користувачем Kyle Wiggers: Додано новини щодо виправлень для AT&T-версій HTC One M8 та One M9. Перейдіть до Списку виправлених пристроїв для отримання додаткової інформації.

Таким чином, хакер може отримати контроль над пристроєм ще до того, як жертва дізнається про текстове повідомлення, і навіть якщо власники телефонів одразу знайдуть повідомлення, вони нічого не зможуть зробити, щоб запобігти захопленню їхнього пристрою шкідливим програмним забезпеченням. Хакер отримає доступ до всіх даних і можливість копіювати або видаляти їх, і навіть матиме доступ до мікрофону і камери, всіх зображень на пристрої, а також Bluetooth.

Ось все, що вам потрібно знати про злом, що робиться для його усунення на всіх постраждалих телефонах Android, список всіх виправлених пристроїв і що ви можете зробити, щоб захистити себе в очікуванні оновлення патчу:

Натисніть на посилання, щоб перейти до теми:

Перших патчів може бути недостатньо

Google діяв швидко для боротьби зі Stagefright, випустивши оновлення для багатьох своїх пристроїв Nexus і своїх OEM-партнерів. Такі відомі компанії, як Samsung, HTC і Motorola, швидко надіслали виправлення своїм користувачам. Можна було б подумати, що безпрецедентно широкого оновлення безпеки буде достатньо для захисту від уразливості Stagefright в Android, але, схоже, це не так. Дослідники з компанії Exodus Intelligence стверджують, що їм вдалося обійти виправлення за допомогою хитромудро створеного шкідливого програмного забезпечення.

Проблема, за словами Exodus Intelligence, полягає в програмній помилці в оновленні, яке зараз розгортається на смартфонах. Неправильно сформований відеофайл MP4 виводить з ладу навіть виправлені бібліотеки Stagefright, роблячи пристрої, на яких вони працюють, вразливими до атак.

“До цієї помилки було привернуто надмірну увагу – ми вважаємо, що ми, швидше за все, не єдині, хто помітив її недоліки. Інші можуть мати зловмисні наміри”, – попередила Exodus у своєму блозі.

Google заявляє, що переважна більшість пристроїв – понад 90 відсотків – не вразливі до обхідного шляху завдяки ASLR (рандомізації адресного простору), техніці безпеки в Android, яка автоматично пом’якшує певні експлойти. Але пошуковий гігант заявляє, що вже направив виправлення виробникам обладнання та вихідний код Android для вирішення проблеми, а також планує випустити оновлення безпеки для своєї лінійки пристроїв Nexus у вересні.

Список виправлених пристроїв

Як спочатку повідомляло видання Ars Technica, оновлення, що закривають уразливість Stagefright, доступні для ряду телефонів Samsung, HTC, LG, Sony та BlackPhone. Якщо ви бачите оновлення, перейдіть до його завантаження. Звичайно, оновлення може бути доступне не у всіх операторів. Наразі виправлення побачили абоненти Sprint, T-Mobile та AT&T.

Ось список пристроїв, відсортованих за виробниками, які вже отримали виправлення:

• Samsung Galaxy S5, S6, S6 Edge та Note Edge
• HTC One M7, One M8 та One M9
• LG G2, G3, G4
• OnePlus 2
• Xperia Z2, Xperia Z3, Xperia Z4, Xperia Z3 Compact від Sony
• Чорний телефон Silent Circle

Проблема полягає в тому, що більшість пристроїв не отримають виправлення одразу, якщо взагалі отримають. Виробники, як відомо, повільно надають оновлення, а процес оновлення ще більше ускладнюється тривалим внутрішнім тестуванням кожного мобільного оператора перед офіційним випуском програмного забезпечення. На щастя, цього разу виробники, схоже, сприйняли злом досить серйозно, і ті з них, які ще не випустили патчі, працюють над ними.

У середині серпня компанія OnePlus оголосила, що версія 2.0.1 операційної системи Oxygen OS містить виправлення для злому Stagefright. Це оновлення спочатку розгортається в Індії, а потім в інших регіонах.

Motorola оголосила, що Moto X Style (і Pure) і Moto X Play вже будуть мати оновлення безпеки від злому Stagefright, коли відповідні телефони будуть запущені. Компанія почне надсилати оновлення операторам для наступних телефонів, починаючи з 10 серпня 2015 року:

• Moto X (1-е покоління, 2-е покоління)
• Moto X Pro
• Moto Maxx/Turbo
• Moto G (1-го покоління, 2-го покоління, 3-го покоління)
• Moto G з 4G LTE (1-е покоління, 2-е покоління)
• Moto E (1-е покоління, 2-е покоління)
• Moto E з 4G LTE (2-е покоління)
• Droid Turbo
• Droid Ultra/Mini/Maxx

На жаль, це не означає, що оновлення будуть доступні саме для цих телефонів. Motorola заявила, що існує понад 200 варіантів програмного забезпечення, і вона буде визначати пріоритетність оновлень на основі найбільших груп споживачів в першу чергу. Користувачі отримають сповіщення, коли оновлення буде доступне для завантаження та встановлення.

Компанія Google оголосила, що розсилає виправлення уразливості Stagefright на всі свої пристрої, включаючи Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9, Nexus 10 і Nexus Player. Виправлення вже з’явилися на деяких пристроях клієнтів Sprint. Компанія Google заявила, що відтепер буде випускати виправлення безпеки для всіх пристроїв Nexus раз на місяць, щоб жоден пристрій Nexus не залишився без серйозного виправлення помилки.

Дослідник, який виявив уразливість, Джошуа Дрейк, підтвердив раніше, що Nexus 6 був виправлений, але тільки для деяких проблем. Він похвалив Silent Circle за те, що вони вже оновили Blackphone, але Nexus 6 і Blackphone представляють дуже невелику кількість телефонів Android.

HTC повідомила Forbes, що її патч буде розповсюджений серед всіх користувачів дуже скоро: “Google повідомив HTC про проблему і надав необхідні патчі, які HTC почав впроваджувати в проекти на початку липня. Всі проекти, що працюють в даний час, містять необхідне виправлення”. Оновлення поширюється на смартфони HTC серії One.

Зв’язавшись з компанією ZTE, Digital Trends отримав наступну заяву щодо її планів по захисту телефонів від злому Stagefright: “В даний час ми розробляємо оновлення програмного забезпечення, яке буде доступне найближчим часом. Безпека є головним пріоритетом в ZTE, і ми працюємо з Google, щоб вирішити цю проблему якомога швидше”.

Вважається, що до цієї атаки вразливі всі телефони на базі Android з версією Android 2.2 або вище. З огляду на те, що на планеті використовується понад 1 мільярд телефонів Android, можна з упевненістю припустити, що більше 950 мільйонів телефонів є вразливими.

Як захистити себе

Новий додаток від Zimperium, людей, які виявили цей недолік, розповість вам, чи вразливий ваш телефон до злому Stagefright.

Додаток Stagefright Detector настільки простий, наскільки це можливо. Після завантаження та встановлення програми просто запустіть її. Додаток пройде через список поширених вразливостей, які впливають на телефон. Потім він повідомить вам, чи є ви вразливим чи ні.

Якщо ви знайшли вразливість, ви знайдете опцію зв’язку з нами. Ця опція не підкаже вам, як виправити проблему, але це спосіб для Zimperium анонімно зібрати інформацію про вразливі CVE, характерні для вашого пристрою. Анонімна інформація буде передана в Zimperium Handset Alliance, членами якого є 25 найбільших світових операторів і виробників пристроїв. Це може допомогти операторам та виробникам визначити, які пристрої потребують виправлень.

Натисніть тут, щоб завантажити додаток Stagefright Detector з Google Play. Якщо ви виявили, що ваш пристрій вразливий, ви можете вжити певних заходів, щоб захистити себе.

Як захистити свій пристрій

Спочатку вважалося, що немає ніякого захисту від MMS-атаки Stagefright, оскільки Hangouts і додаток Google Messenger автоматично завантажують відео, але є спосіб запобігти цьому, якщо ваш телефон виявиться вразливим за допомогою програми Stagefright Detector. Вимкнувши опцію “Автоматичне отримання MMS” у вашому додатку для обміну повідомленнями за замовчуванням, ви можете зупинити автоматичне завантаження відео, тим самим зупинивши виконання шкідливого коду.

Більшість телефонів Android включають в себе як Hangouts, так і іншу програму для обміну SMS/MMS-повідомленнями, яка є програмою за замовчуванням з коробки. Кожен виробник пропонує власну версію, тому вона може називатися Messages, Messenger або щось подібне.

Якщо ви користувач Hangouts, вам було надано можливість встановити його як програму для обміну SMS/MMS повідомленнями за замовчуванням при першому відкритті програми. Встановлення Hangouts як програми за замовчуванням, як правило, перекриває інші попередньо встановлені програми.

Вам потрібно буде внести зміни в програму, яку Ви встановили як програму обміну повідомленнями за замовчуванням, тобто програму, яку Ви використовуєте для щоденного надсилання та отримання SMS/MMS-повідомлень. Якщо це програма Hangouts, ми рекомендуємо вам також внести зміни в іншій програмі, оскільки на деяких старих телефонах повідомлення надсилаються в обидві програми. Якщо це новіший телефон, налаштування для цієї програми можуть бути сірими, що означає, що вона не отримує дублікати повідомлень.

Ми знаємо, що це звучить складно, але суть в тому, що якщо є така можливість, змініть її. Якщо ні, то все в порядку.

Як вимкнути “Автоматичне отримання MMS” в Hangouts

1. Відкрийте програму Hangouts і торкніться меню у вигляді гамбургера (три рядки) вгорі зліва поруч з вашим ім’ям на головному екрані.
2. З лівого боку з’явиться спливаюче меню. Торкніться Налаштування .
3. Торкніться SMS .
4. Прокрутіть вниз до пункту Автоматично отримувати MMS і зніміть прапорець. Якщо опція неактивна, це означає, що Hangouts не є програмою SMS за замовчуванням, і вам потрібно виконати наступний набір інструкцій нижче, щоб вимкнути її в іншій програмі обміну повідомленнями, яку ви використовуєте для всіх своїх SMS-повідомлень.

Source: digitaltrends.com