Eksploitasi 'stagefright' Android: apa yang perlu Anda ketahui

Pada Juli 2015, perusahaan keamanan Zimperium mengumumkan bahwa mereka telah menemukan "unicorn" kerentanan di dalam sistem operasi Android. Rincian lebih lanjut diungkapkan secara terbuka pada konferensi BlackHat pada awal Agustus - tetapi tidak sebelum berita utama menyatakan bahwa hampir satu miliar perangkat Android berpotensi diambil alih tanpa diketahui oleh pengguna mereka.

Jadi apa itu "Stagefright"? Dan apakah Anda perlu khawatir tentang hal itu?

Kami terus memperbarui posting ini karena lebih banyak informasi dirilis. Inilah yang kami ketahui, dan apa yang perlu Anda ketahui.

Apa itu Stagefright?

"Stagefright" adalah nama panggilan yang diberikan untuk potensi eksploitasi yang hidup cukup dalam di dalam sistem operasi Android itu sendiri. Intinya adalah bahwa video yang dikirim melalui MMS (pesan teks) dapat secara teoritis digunakan sebagai jalan serangan melalui mekanisme libStageFright (dengan demikian nama "Stagefright"), yang membantu Android memproses file video. Banyak aplikasi perpesanan teks - aplikasi Hangouts Google secara khusus disebutkan - secara otomatis memproses video itu sehingga siap untuk ditonton segera setelah Anda membuka pesan, dan serangan secara teoritis dapat terjadi tanpa Anda menyadarinya.

Karena libStageFright kembali ke Android 2.2, ratusan juta ponsel berisi pustaka yang cacat ini.

17-18 Agustus: Eksploitasi masih ada?

Ketika Google mulai meluncurkan pembaruan untuk lini Nexus-nya, firma Exodus menerbitkan sebuah posting blog dengan mengatakan bahwa setidaknya satu eksploit masih belum ditonton, menyiratkan bahwa Google mengacaukan kode tersebut. Publikasi Inggris, Register, dalam tulisan yang ditulis dengan apik, mengutip seorang insinyur dari Rapid7 yang mengatakan perbaikan selanjutnya akan dilakukan pada pembaruan keamanan September - bagian dari proses perbaikan keamanan bulanan baru.

Google, untuk bagiannya, belum secara publik menangani klaim terbaru ini.

Dengan tidak adanya perincian lebih lanjut untuk yang satu ini, kami cenderung percaya bahwa yang paling buruk adalah kami kembali ke tempat kami memulai - bahwa ada kekurangan di libStageFight, tetapi ada lapisan keamanan lain yang harus memitigasi kemungkinan perangkat sebenarnya dieksploitasi.

Satu Agustus 18. Trend Micro menerbitkan posting blog di cacat lain di libStageFright. Dikatakan tidak punya bukti bahwa exploit ini benar-benar digunakan, dan bahwa Google menerbitkan tambalan untuk Android Open Source Project pada 1 Agustus.

Rincian Stagefright baru pada 5 Agustus

Dalam hubungannya dengan konferensi BlackHat di Las Vegas - di mana lebih banyak rincian kerentanan Stagefright diungkapkan kepada publik - Google menangani situasi secara khusus, dengan insinyur utama untuk keamanan Android Adrian Ludwig mengatakan kepada NPR bahwa "saat ini, 90 persen perangkat Android memiliki teknologi. disebut ASLR diaktifkan, yang melindungi pengguna dari masalah."

Ini sangat bertentangan dengan garis "900 juta perangkat Android rentan" yang kita semua baca. Meskipun kita tidak akan masuk ke tengah-tengah perang kata-kata dan kecerobohan tentang angka, apa yang dikatakan Ludwig adalah bahwa perangkat yang menjalankan Android 4.0 atau lebih tinggi - itu sekitar 95 persen dari semua perangkat aktif dengan layanan Google - memiliki perlindungan terhadap serangan buffer overflow bawaan.

ASLR (A kreasi S Lana R andoutization) adalah metode yang membuat penyerang tidak dapat menemukan fungsi yang ingin dia coba dan manfaatkan dengan pengaturan acak dari ruang alamat memori dari suatu proses. ASLR telah diaktifkan di Linux Kernel default sejak Juni 2005, dan telah ditambahkan ke Android dengan Versi 4.0 (Ice Cream Sandwich).

Bagaimana itu untuk seteguk?

Apa artinya adalah bahwa area utama dari suatu program atau layanan yang berjalan tidak dimasukkan ke tempat yang sama di RAM setiap waktu. Menempatkan segala sesuatu ke dalam memori secara acak berarti penyerang harus menebak di mana mencari data yang ingin mereka eksploitasi.

Ini bukan perbaikan yang sempurna, dan sementara mekanisme perlindungan umum baik, kita masih membutuhkan tambalan langsung terhadap eksploitasi yang diketahui saat muncul. Google, Samsung (1), (2) dan Alcatel telah mengumumkan patch langsung untuk stagefright, dan Sony, HTC dan LG mengatakan mereka akan merilis patch pembaruan pada bulan Agustus.

Siapa yang menemukan exploit ini?

Eksploitasi diumumkan 21 Juli oleh perusahaan keamanan seluler Zimperium sebagai bagian dari pengumuman untuk pesta tahunannya di konferensi BlackHat. Ya, Anda membacanya dengan benar. Ini "Ibu dari semua Kerentanan Android, " seperti yang dikatakan Zimperium, diumumkan pada 21 Juli (seminggu sebelum ada yang memutuskan untuk peduli, tampaknya), dan hanya beberapa kata bom yang lebih besar dari "Pada malam 6 Agustus, Zimperium akan goyang adegan pesta Vegas! " Dan Anda tahu itu akan menjadi rager karena ini adalah "pesta tahunan Vegas kami untuk ninja favorit kami, " sepenuhnya dengan tagar rockin 'dan segalanya.

Seberapa luaskah eksploitasi ini?

Sekali lagi, jumlah perangkat dengan cacat di libStageFright library itu sendiri cukup besar, karena ada di OS itu sendiri. Tetapi seperti yang dicatat oleh Google beberapa kali, ada metode lain di tempat yang seharusnya melindungi perangkat Anda. Anggap saja sebagai lapisan keamanan.

Jadi haruskah saya khawatir tentang Stagefright atau tidak?

Berita baiknya adalah bahwa peneliti yang menemukan cacat ini di Stagefright "tidak percaya bahwa peretas di alam liar mengeksploitasinya." Jadi itu adalah hal yang sangat buruk yang tampaknya tidak ada yang benar-benar digunakan untuk melawan siapa pun, setidaknya menurut orang ini. Dan, sekali lagi, Google mengatakan jika Anda menggunakan Android 4.0 atau lebih tinggi, Anda mungkin akan baik-baik saja.

Itu tidak berarti itu bukan potensi buruk. Ini. Dan lebih lanjut menyoroti kesulitan mendapatkan pembaruan didorong melalui ekosistem pabrikan dan operator. Di sisi lain, ini merupakan jalan potensial untuk mengeksploitasi yang tampaknya telah ada sejak Android 2.2 - atau pada dasarnya lima tahun terakhir. Entah itu membuat Anda bom waktu, atau kista jinak, tergantung pada sudut pandang Anda.

Dan untuk bagiannya, Google pada bulan Juli menegaskan kembali ke Android Central bahwa ada beberapa mekanisme untuk melindungi pengguna.

Kami berterima kasih kepada Joshua Drake untuk kontribusinya. Keamanan pengguna Android sangat penting bagi kami dan karenanya kami merespons dengan cepat dan tambalan telah diberikan kepada mitra yang dapat diterapkan ke perangkat apa pun.

Sebagian besar perangkat Android, termasuk semua perangkat yang lebih baru, memiliki beberapa teknologi yang dirancang untuk membuat eksploitasi lebih sulit. Perangkat Android juga menyertakan kotak pasir aplikasi yang dirancang untuk melindungi data pengguna dan aplikasi lain pada perangkat.

Bagaimana dengan pembaruan untuk memperbaiki Stagefright?

Kami akan membutuhkan pembaruan sistem untuk benar-benar menambal ini. Dalam "Android Security Group" barunya dalam buletin 12 Agustus, Google mengeluarkan "buletin keamanan Nexus" yang merinci hal-hal dari ujungnya. Ada detail tentang beberapa CVE (Kerentanan Umum dan Eksposur), termasuk ketika mitra diberi tahu (paling cepat 10 April, misalnya), yang membangun perbaikan fitur Android (Android 5.1.1, build LMY48I) dan faktor mitigasi lainnya (skema memori ASLR tersebut).

Google juga mengatakan telah memperbarui aplikasi Hangouts dan Messenger sehingga mereka tidak secara otomatis memproses pesan video di latar belakang "sehingga media tidak secara otomatis diteruskan ke proses mediaserver."

Kabar buruknya adalah kebanyakan orang harus menunggu produsen dan operator untuk mendorong pembaruan sistem. Tapi, sekali lagi - sementara kita berbicara sekitar 900 juta ponsel rentan di luar sana, kita juga berbicara nol kasus eksploitasi yang diketahui. Itu peluang yang cukup bagus.

HTC mengatakan pembaruan mulai sekarang akan mengandung perbaikan. Dan CyanogenMod menggabungkan mereka sekarang juga.

Motorola mengatakan semua ponsel generasi sekarang - dari Moto E ke Moto X terbaru (dan semuanya) akan ditambal, kode mana yang akan dikirim ke operator mulai 10 Agustus.

Pada 5 Agustus, Google merilis gambar sistem baru untuk Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 dan Nexus 10. Google juga mengumumkan akan merilis pembaruan keamanan bulanan untuk garis Nexus untuk garis Nexus. (Build M Preview yang dirilis untuk publik kedua tampaknya sudah ditambal juga.)

Dan sementara dia tidak menyebut nama exploit Stagefright dengan nama, Adrian Google sebelumnya di Google+ Google+ sudah membahas eksploitasi dan keamanan secara umum, lagi-lagi mengingatkan kita pada berbagai lapisan yang digunakan untuk melindungi pengguna. Dia menulis:

Ada anggapan umum yang keliru bahwa bug perangkat lunak apa pun dapat diubah menjadi eksploitasi keamanan. Faktanya, sebagian besar bug tidak dapat dieksploitasi dan ada banyak hal yang telah dilakukan Android untuk meningkatkan peluang tersebut. Kami telah menghabiskan 4 tahun terakhir untuk berinvestasi dalam teknologi yang berfokus pada satu jenis bug - bug kerusakan memori - dan mencoba membuat bug itu lebih sulit untuk dieksploitasi.