תוכן עניינים:
- מהי חזית הבמה?
- 17-18 באוגוסט: נותרו מנצלות?
- פרטים חדשים על סטאז'ים החל מה -5 באוגוסט
- מי מצא את הניצול הזה?
- עד כמה הניצול הזה נפוץ?
- אז האם אני צריך לדאוג לגבי Stagefright או לא?
- מה לגבי עדכונים לתיקון Stagefright?
ביולי 2015, חברת האבטחה צימפריום הודיעה כי גילתה "חד קרן" של פגיעות בתוך מערכת ההפעלה אנדרואיד. פרטים נוספים נחשפו בפומבי בכנס BlackHat בתחילת אוגוסט - אך לא לפני שהכותרות הצהירו כי כמעט פוטנציאל מכשירי אנדרואיד ניתנים להשתלטות מבלי שהמשתמשים שלהם אפילו לא ידעו על כך.
אז מה זה "סצינת הבמה"? והאם אתה צריך לדאוג בקשר לזה?
אנו מעדכנים כל העת פוסט זה ככל שמשוחררים מידע נוסף. הנה מה שאנחנו יודעים, ומה שאתה צריך לדעת.
מהי חזית הבמה?
"Stagefright" הוא הכינוי שניתן לניצול פוטנציאלי שחי עמוק למדי בתוך מערכת ההפעלה אנדרואיד עצמה. התמצית העיקרית היא שסרטון שנשלח באמצעות MMS (הודעת טקסט) יכול לשמש באופן תיאורטי כאמצעי התקפה דרך מנגנון libStageFright (ובכך השם "Stagefright"), המסייע לאנדרואיד לעבד קבצי וידאו. אפליקציות להודעות טקסט רבות - אפליקציית Hangouts של גוגל הוזכרה ספציפית - מעבדות אוטומטית את הסרטון הזה כך שהוא מוכן לצפייה ברגע שפותחים את ההודעה, וכך ההתקפה תיאורטית יכולה להתרחש מבלי שאתה אפילו יודע אותה.
מכיוון ש libStageFright מתוארך ל- Android 2.2, מאות מיליוני טלפונים מכילים את הספרייה הפגומה הזו.
17-18 באוגוסט: נותרו מנצלות?
ממש כשגוגל החלה לפרסם עדכונים עבור קו Nexus שלה, פירמה חברת אקסודוס פוסט בבלוג באומץ לב שלפחות ניצול אחד נותר ללא תחרות, והמשמעה כי גוגל הספיקה את הקוד. הפרסום בבריטניה, הרשם, מצטט במאמר מהנדס מ- Rapid7 באומרו כי התיקון הבא יגיע בעדכון האבטחה של ספטמבר - חלק מתהליך התיקון החודשי החדש.
גוגל מצידה טרם התייחסה בפומבי לתביעה האחרונה הזו.
בהיעדר פרטים נוספים על כך, אנו נוטים להאמין שבגרוע מכך אנו חוזרים למקום בו התחלנו - שיש פגמים ב- libStageFight, אך ישנם שכבות אבטחה אחרות אשר אמורות להקל על האפשרות של מכשירים. למעשה מנוצלים.
18 באוגוסט. Trend Micro פרסם פוסט בבלוג על פגם אחר ב- libStageFright. נכתב כי אין לה שום עדות לכך שהניצול הזה נעשה בפועל, וכי גוגל פרסמה את התיקון לפרויקט קוד הפיתוח של אנדרואיד ב -1 באוגוסט.
פרטים חדשים על סטאז'ים החל מה -5 באוגוסט
בשיתוף ועידת BlackHat בלאס וגאס - בה נחשפו בפומבי פרטים נוספים על פגיעות Stagefright - גוגל התייחסה למצב באופן ספציפי, כאשר המהנדס הראשי לאבטחת אנדרואיד אדריאן לודוויג אמר ל- NPR כי "נכון לעכשיו, 90 אחוז ממכשירי אנדרואיד מחזיקים בטכנולוגיה נקרא ASLR מופעל, שמגן על המשתמשים מפני הבעיה."
זה מאוד מסוכסך עם קו "900 מיליון מכשירי אנדרואיד פגיע" שכולנו קראנו. אמנם אנו לא מתכוונים להיכנס למלחמת מילים ודיווחים על המספרים, אך מה שלודוויג אמר כי למכשירים עם אנדרואיד 4.0 ומעלה - זה בערך 95 אחוז מכל המכשירים הפעילים עם שירותי גוגל - יש הגנה מפני התקפת הצפת מאגר מובנית.
ASLR (A ddress S tempo L ayout R andomization) היא שיטה המונעת מהתוקף למצוא באופן מהימן את הפונקציה שהוא או היא רוצים לנסות ולנצל באמצעות סידור אקראי של מרחבי כתובות זיכרון של תהליך. ASLR הופעל בגרעין הלינוקס המוגדר כברירת מחדל מאז יוני 2005, ונוסף לאנדרואיד עם גרסה 4.0 (גלידת סנדוויץ ').
איך זה לפה?
המשמעות היא שתחומי המפתח בתוכנה או בשירות המופעלים אינם מכניסים לאותו מקום באותו זיכרון RAM בכל פעם. להכניס דברים לזיכרון באופן אקראי פירושו שכל תוקף צריך לנחש היכן לחפש את הנתונים שהם רוצים לנצל.
זה אינו תיקון מושלם, ובעוד שמנגנון הגנה כללי הוא טוב, אנו עדיין זקוקים לתיקונים ישירים כנגד מעלולים ידועים כאשר הם מתעוררים. גוגל, סמסונג (1), (2) ואלקטל הודיעו על תיקון ישיר למסגרת הבמה, וסוני, HTC ו- LG אומרים כי הם ישחררו תיקוני עדכון באוגוסט.
מי מצא את הניצול הזה?
על הניצול הוכרז ה- 21 ביולי על ידי חברת האבטחה הסלולרית צימפריום כחלק מהכרזה למסיבה השנתית שלה בכנס BlackHat. כן, קראת נכון. "אם לכל הפגיעויות באנדרואיד", כהגדרתה של צימפריום, הוכרז ב -21 ביולי (שבוע לפני שמישהו החליט שאכפת לו, ככל הנראה), ובכמה מילים רק הפצצה הגדולה עוד יותר של "בערב ה- 6 באוגוסט, צימפריום רוק את סצנת המסיבות בווגאס! " ואתה יודע שזו תהיה סיבוב כי זה "מסיבת הווגאס השנתית שלנו לנינג'ות האהובות עלינו", לגמרי עם hashtag רוקני והכל.
עד כמה הניצול הזה נפוץ?
שוב, מספר המכשירים עם הפגם בספריית libStageFright עצמו הוא די עצום, מכיוון שהוא נמצא במערכת ההפעלה עצמה. אך כפי שצוין על ידי גוגל מספר פעמים, קיימות שיטות אחרות אשר אמורות להגן על המכשיר שלך. חשוב על זה כביטחון בשכבות.
אז האם אני צריך לדאוג לגבי Stagefright או לא?
החדשות הטובות הן שהחוקר שגילה את הפגם הזה ב- Stagefright "לא מאמין שהאקרים בחיק הטבע מנצלים אותו." אז זה דבר רע מאוד שככל הנראה אף אחד לא משתמש בפועל נגד אף אחד, לפחות לפי האדם האחד הזה. ושוב, גוגל אומרת שאם אתה משתמש ב- Android 4.0 ומעלה, סביר להניח שאתה יהיה בסדר.
זה לא אומר שזה לא ניצול פוטנציאלי רע. זה. זה מדגיש עוד יותר את הקשיים בקבלת עדכונים דרך היצרן ומערכת האקולוגית של הספק. מצד שני, זהו אמצעי ניצול אפשרי שככל הנראה קיים מאז אנדרואיד 2.2 - או בעצם בחמש השנים האחרונות. זה הופך אותך לפצצת זמן מתקתקת, או לציסטה שפירה, תלוי בנקודת המבט שלך.
ומצדה, גוגל ביולי חזרה על אנדרואיד סנטרל כי קיימים מספר מנגנונים שמגנים על המשתמשים.
אנו מודים ליהושע דרייק על תרומותיו. האבטחה של משתמשי אנדרואיד חשובה לנו ביותר ולכן הגבנו במהירות וכבר ניתנו טלאים לשותפים שניתן להחיל על כל מכשיר.
לרוב מכשירי האנדרואיד, כולל כל המכשירים החדשים יותר, יש טכנולוגיות מרובות שנועדו להקשות על הניצול. מכשירי אנדרואיד כוללים גם ארגז חול של אפליקציות שנועד להגן על נתוני משתמש ויישומים אחרים במכשיר.
מה לגבי עדכונים לתיקון Stagefright?
אנו זקוקים לעדכוני מערכת כדי לתקן זאת באמת. ב- "קבוצת האבטחה של אנדרואיד" החדשה שלה בעלון של 12 באוגוסט, גוגל פרסמה "עלון אבטחה של Nexus" ובו פירוט הדברים מסופו. ישנם פרטים על מספר CVEs מרובים (פגיעויות וחשיפות נפוצות), כולל מתי הודיעו לשותפים (כבר ב -10 באפריל, עבור אחד), אשר בונים תיקונים בהשתתפות אנדרואיד (אנדרואיד 5.1.1, לבנות LMY48I) וכל גורמים מקלים אחרים (תוכנית הזיכרון של ASLR כאמור).
גוגל גם אמרה כי היא עדכנה את אפליקציות ה- Hangouts והמסנג'ר שלה כך שלא יעבדו באופן אוטומטי הודעות וידאו ברקע "כך שמדיה לא מועברת אוטומטית לתהליך השרת הבינוני."
החדשות הרעות הן שרוב האנשים עושים כדי לחכות ליצרנים ולספקים כדי לדחוף עדכוני מערכת. אבל, שוב - בזמן שאנחנו מדברים על משהו כמו 900 מיליון טלפונים פגיעים שם בחוץ, אנחנו מדברים גם על אפס מקרים של ניצול ידועים. אלה סיכויים די טובים.
ב- HTC נמסר כי עדכונים מכאן והלאה יכילו את התיקון. ו- CyanogenMod משלבת אותם גם עכשיו.
מוטורולה אומרת כי כל הטלפונים מהדור הנוכחי שלה - מה- Moto E ועד ה- Moto X החדש (וכל מה שביניהם) יטופלו, אשר קוד יעבור לספקיות החל מ -10 באוגוסט.
ב- 5 באוגוסט גוגל פרסמה תמונות מערכת חדשות עבור Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 ו- Nexus 10. גוגל הודיעה גם כי תשחרר עדכוני אבטחה חודשיים עבור קו Nexus עבור קו Nexus. (נראה כי גם הבנייה השנייה שפורסמה בפומבי מבית M Preview נראה שתוקנה.)
ובעוד שהוא לא שם את שמו של הניצול Stagefright בשמו, אדריאן לודוויג של גוגל קודם לכן ב- Google+ כבר התייחס למיצוי וביטחון באופן כללי, והזכיר לנו שוב את הרבדים ששכנו להגנה על המשתמשים. הוא כותב:
קיימת הנחה שגויה ושגויה כי ניתן להפוך כל באג תוכנה לניצול אבטחה. למעשה, מרבית הבאגים אינם ניתנים לניצול ויש דברים רבים שאנדרואיד עשתה כדי לשפר את הסיכויים האלה. בילינו את ארבע השנים האחרונות בהשקעה רבה בטכנולוגיות המתמקדות בסוג אחד של באג - באגים בשחיתות זיכרון - ומנסים להפוך את הבאגים הללו לקשים יותר לניצול.
![Ticwatch לבוש אנדרואיד פרו [סקירה]: הכלאה טובה משני העולמות](https://img.androidermagazine.com/img/wearables/943/ticwatch-pro-review-best-both-worlds-hybrid.jpg "Ticwatch לבוש אנדרואיד פרו [סקירה]: הכלאה טובה משני העולמות")