Stagefright в Android використовує те, що потрібно знати і як захистити себе

У Android є серйозна помилка безпеки в компоненті, відомому як "Stagefright". Тільки прийом шкідливого MMS-повідомлення може призвести до порушення вашого телефону. Це дивно, що ми не бачили черв'яка, який поширювався з телефону на телефон, як це робили черв'яки в ранні дні Windows XP - всі інгредієнти тут.

Це насправді трохи гірше, ніж здається. Засоби масової інформації в основному зосереджені на методі атаки MMS, але навіть відео MP4, вбудовані в веб-сторінки або програми, можуть порушити роботу телефону або планшета.

Чому недолік Stagefright є небезпечним - це не просто MMS

Деякі коментатори назвали цю атаку "Stagefright", але насправді це атака на компонент Android під назвою Stagefright. Це компонент мультимедійного програвача в Android. Вона має вразливість, яку можна використовувати - найбільш небезпечно через MMS, що є текстовим повідомленням з вбудованими мультимедійними компонентами.

Багато виробників телефонів Android неправомірно підібрали дозволу на систему Stagefright, що на один крок нижче доступу до коренів. Експлуатація Stagefright дозволяє зловмисникам запускати арбітражний код з дозволами "media" або "system", залежно від того, як налаштовано пристрій. Системні дозволи дозволять зловмисникам повністю завершити доступ до свого пристрою. Zimperium, організація, яка виявила і повідомила про проблему, пропонує більше подробиць.

Типові програми для надсилання текстових повідомлень Android автоматично отримують вхідні MMS-повідомлення. Це означає, що ви можете бути скомпрометовані лише тим, хто надсилає вам повідомлення по телефонній мережі. З вашим телефоном компрометував черв'як, використовуючи цю вразливість, може читати ваші контакти та надсилати зловмисні MMS-повідомлення вашим контактам, поширюючись як лісова пожежа, як вірус Меліси в 1999 році, використовуючи контакти Outlook та електронні контакти.

Початкові звіти зосереджувалися на MMS, оскільки це був найбільш потенційно небезпечний вектор Stagefright. Але це не просто MMS. Як зазначає Trend Micro, ця уразливість в компоненті "mediaserver", а зловмисний MP4-файл, вбудований на веб-сторінці, може використовувати його - так, просто перейшовши на веб-сторінку у вашому веб-браузері. MP4 файл, вбудований в додаток, який хоче використовувати ваш пристрій, може зробити те ж саме.

Чи є ваш смартфон або планшет вразливим?

Можливо, ваш пристрій Android уразливий. Дев'яносто п'ять відсотків пристроїв Android у дикій природі є вразливими для Stagefright.

Щоб переконатися, встановіть програму Stagefright Detector App з Google Play. Ця програма була створена компанією Zimperium, яка відкрила і повідомила про вразливість Stagefright. Він перевірить ваш пристрій і повідомить вам, чи було виправлено Stagefright на вашому телефоні Android або ні.

Як запобігти Stagefright атаки, якщо ви вразливі

Наскільки нам відомо, антивірусні програми Android не врятують вас від атак Stagefright. Вони не обов'язково мають достатньо системних дозволів для перехоплення MMS-повідомлень і втручання в компоненти системи. Google також не може оновити компонент Google Play Services в Android, щоб виправити цю помилку, печворк рішення Google часто використовує, коли дірки з безпеки з'являються.

Щоб запобігти виникненню компрометації, необхідно запобігти вибору вашої програми обміну повідомленнями при завантаженні та запуску MMS-повідомлень. Загалом, це означає відключення налаштування "Автоматичне отримання MMS" у його налаштуваннях. Коли ви отримуєте MMS-повідомлення, воно не буде автоматично завантажено - вам доведеться завантажити його, натиснувши на замінник або щось подібне. Ви не будете під загрозою, якщо ви не вирішите завантажити MMS.

Ви не повинні це робити. Якщо MMS від когось, кого ви не знаєте, обов'язково ігноруйте його. Якщо MMS-повідомлення від друга, можливо, їхній телефон буде скомпрометований, якщо черв'як почне злітати. Найбезпечніше ніколи не завантажувати MMS-повідомлення, якщо ваш телефон уразливий.

Щоб вимкнути автоматичне отримання MMS-повідомлень, виконайте відповідні кроки для вашого програми обміну повідомленнями.

• Повідомлення (вбудовано в Android): Відкрийте Повідомлення, натисніть кнопку меню і торкніться Установки. Прокрутіть вниз до розділу "Мультимедійні (MMS) повідомлення" і зніміть прапорець "Автоматичне отримання".
• Messenger (від Google): Відкрийте Messenger, торкніться меню, торкніться Налаштування, натисніть Додатково та вимкніть "Автоматичне завантаження".
• Hangouts (від Google). Відкрийте Hangouts, торкніться меню та перейдіть до Налаштування> SMS. Зніміть прапорець "Автоматичне отримання SMS-повідомлень" у розділі Розширені. (Якщо тут не відображаються параметри SMS, телефон не використовує Hangouts для SMS. Вимкніть налаштування в застосунку SMS, який ви використовуєте.)
• Повідомлення (від Samsung): Відкрийте Повідомлення та перейдіть до Додатково> Налаштування> Додаткові налаштування. Торкніться пункту Мультимедійні повідомлення та вимкніть опцію “Автоматичне завантаження”. Це налаштування може перебувати в іншому місці на різних пристроях Samsung, які використовують різні версії програми Messages.

Тут неможливо побудувати повний список. Просто відкрийте програму, яку ви використовуєте для надсилання SMS-повідомлень (текстових повідомлень), і знайдіть опцію, яка вимкне "автоматичне завантаження" або "автоматичне завантаження" MMS-повідомлень.

Увага: Якщо ви вирішили завантажити MMS-повідомлення, ви все ще уразливі. І, оскільки уразливість Stagefright не є лише проблемою MMS-повідомлень, це не захистить вас повністю від кожного типу атаки.

Коли Ваш телефон отримує патч?

Замість того, щоб намагатися обійти помилку, було б краще, якщо б ваш телефон отримав оновлення, яке його виправляло. На жаль, ситуація з оновленням Android зараз є кошмаром. Якщо у вас є нещодавній флагманський телефон, ви, можливо, очікуєте оновлення в певний момент - сподіваюся. Якщо у вас старий телефон, особливо телефон нижнього рівня, є шанс, що ви ніколи не отримаєте оновлення.

• Пристрої Nexus: Google опублікував оновлення для Nexus 4, Nexus 5, Nexus 6, Nexus 7 (2013), Nexus 9 і Nexus 10. Оригінальний Nexus 7 (2012), очевидно, більше не підтримується і не буде виправлений
• Samsung: Спринт почав виштовхувати оновлення до Galaxy S5, S6, S6 Edge і Note Edge. Незрозуміло, коли інші оператори натискають ці оновлення.

Google також повідомив Ars Technica, що "найпопулярніші Android-пристрої" отримають оновлення в серпні, включаючи:

• Samsung: Galaxy S3, S4 і Note 4, на додаток до телефонів вище.
• HTC: Один М7, Один М8 і Один М9.
• LG: G2, G3 і G4.
• Sony: Компактний Xperia Z2, Z3, Z4 і Z3.
• Android One пристроїв, що підтримуються Google

Motorola також оголосила про те, що вона почне латувати свої телефони з оновленнями, починаючи з серпня, включаючи Moto X (1 і 2 покоління), Moto X Pro, Moto Maxx / Turbo, Moto G (1-е, 2-е і 3-е покоління), Moto G з 4G LTE (1 і 2 покоління), Moto E (1 і 2 покоління), Moto E з 4G LTE (2-го покоління), DROID Turbo і DROID Ultra / Mini / Maxx.

Google Nexus, Samsung і LG зобов'язувалися оновлювати свої телефони з оновленнями безпеки раз на місяць. Однак ця обіцянка дійсно стосується тільки флагманських телефонів і потребуватиме співпраці з перевізниками. Незрозуміло, наскільки добре це спрацює. Оператори можуть потенційно перешкоджати цим оновленням, і це залишає велику кількість - тисячі різних моделей - телефонів, що використовуються, без оновлення.

Або просто встановіть CyanogenMod

CyanogenMod є користувальницьким ПЗУ сторонніх виробників, які часто використовуються ентузіастами. Це приносить поточну версію Android до пристроїв, які виробники перестали підтримувати. Це не ідеальне рішення для середньої людини, оскільки воно вимагає розблокування завантажувача телефону. Але, якщо ваш телефон підтримується, ви можете використовувати цей трюк, щоб отримати поточну версію Android з поточними оновленнями безпеки. Це не погана ідея встановити CyanogenMod, якщо ваш телефон більше не підтримується його виробником.

CyanogenMod вирішив уразливість Stagefright в нічних версіях, і виправлення повинно скоро перейти до стабільної версії за допомогою оновлення OTA.

Проблема з Android: більшість пристроїв не отримують оновлення безпеки

Це всього лише один з багатьох отворів безпеки старих Android пристроїв нарощувати, на жаль. Це просто дуже поганий, який отримує більше уваги. Наприклад, більшість пристроїв Android - всі пристрої під керуванням Android 4.3 і старше - мають уразливий компонент веб-переглядача. Це ніколи не буде виправлено, якщо пристрої не оновлюватимуться до нової версії Android. Ви можете захистити себе від неї, запустивши Chrome або Firefox, але цей уразливий веб-переглядач буде завжди на цих пристроях, доки їх не буде замінено. Виробники не зацікавлені в тому, щоб їх оновлювати і підтримувати, тому багато людей звернулися до CyanogenMod.

Google, виробники пристроїв Android та оператори стільникового зв'язку повинні впорядкувати свої дії, оскільки поточний спосіб оновлення - а точніше, не оновлення - пристроїв Android призводить до екосистеми Android з пристроями, які з часом створюють отвори. Ось чому iPhone є більш безпечним, ніж телефони Android - айфони отримують оновлення безпеки. Apple зобов'язалася оновити айфони довше, ніж Google (лише для телефонів Nexus), Samsung і LG збираються оновити свої телефони..

Ви, напевно, чули, що використання Windows XP небезпечно, тому що оновлення більше не відбувається. XP продовжуватиме з часом створювати дірки з безпеки та ставати все більш вразливими. Що ж, використання більшості телефонів Android є таким же способом - вони також не отримують оновлення безпеки.

Деякі пом'якшення експлуатації можуть допомогти запобігти отриманню черв'яком Stagefright над мільйонами телефонів Android. Google стверджує, що ASLR та інші засоби захисту більш пізніх версій Android допомагають запобігти атаці Stagefright, і це здається частково вірним.

Деякі стільникові оператори також, здається, блокують потенційно шкідливі MMS-повідомлення на своєму кінці, перешкоджаючи їм коли-небудь досягати вразливих телефонів. Це допоможе запобігти поширенню хробака за допомогою MMS-повідомлень, принаймні на операторах, які здійснюють дії.

Зображення: Маттео Доні на Flickr