Неполный патч Stagefright от Google оставляет пользователей Android на милость хакеров

Исследователи обнаружили недостатки в недоработанном патче Stagefright, выпущенном Google для смартфонов и планшетов на Android

Похоже, что ошибка Stagefright в Android становится настоящей головной болью для Google. Исправление «ошибки Stagefright» на устройствах Android занимает больше времени, чем, возможно, надеялся Google!

В конце прошлого месяца, когда исследователь безопасности Джошуа Дрейк раскрыл детали уязвимости Stagefright, Google быстро предоставил необходимые патчи. Различные другие производители Android и операторы связи также объединили усилия, чтобы исправить проблему на большинстве устройств Android. Некоторые из них также объявили о выпуске ежемесячных патчей, что на самом деле было установлено как следствие ошибки Stagefright.

Однако, похоже, что патчи, выпущенные Google, были недоработанными и исправлены в спешке. Исследователи из Exodus Intelligence обнаружили некоторые недостатки в одном из патчей, выпущенных Google, и они утверждают, что при определенных условиях устройство Android все еще уязвимо для атаки Stagefright.

Прошло всего около восьми дней с тех пор, как Google, производители Android и операторы связи выпустили соответствующие патчи для своих устройств. После развертывания патча исследователи Exodus Intelligence смогли успешно вызвать сбой системы на устройстве Android. Похоже, что исследовательская группа использовала правильно закодированный mp4 файл через MMS для атаки на телефон.

Исследователи отправили заявление по электронной почте, в котором говорится: «Резюме таково, что уязвимость Stagefright все еще может быть использована, и 4-строчный патч, который был реализован, является ошибочным. Мы смогли вызвать ошибку, которая все еще затрагивает более 950 миллионов устройств Android.»

В настоящее время неясно, может ли ошибка быть использована только для выполнения кода или может ли она также использоваться для выключения системы.

С другой стороны, как только Exodus сообщил о проблеме вместе с патчем Google, он немедленно открыл исходный код патча для недостатка.

Google подтвердила, что уже отправила второй патч для решения проблемы.

В заявлении Google сказали: «Мы уже отправили исправление нашим партнерам для защиты пользователей, и Nexus 4/5/6/7/9/10 и Nexus Player получат обновление OTA в сентябрьском ежемесячном обновлении безопасности.»

В настоящее время не подтверждено, получат ли не-Nexus телефоны также второй патч; однако, похоже, что устройства будут обеспечены этим новым патчем, упакованным в систему ежемесячных патчей, которая будет выпущена вскоре, как уже было подтверждено ранее Google, производителями Android и некоторыми операторами связи.

Обычно, когда обнаруживается ошибка или уязвимость, должен быть стандартный 30-дневный срок уведомления, который даст компании достаточно времени, чтобы понять недостаток и предоставить какой-то правильный патч для смягчения проблемы. Однако исследователи Exodus Intelligence раскрыли ошибку довольно быстро, и у Google было менее недели, чтобы разработать и развернуть патч для выделенного недостатка.

Тем не менее, Exodus считает, что недостаток был частью раскрытия уязвимости Stagefright, о которой уже сообщалось Google около четырех месяцев назад, и, что удивительно, Google все еще использовал ошибочный патч. Таким образом, в текущей ситуации, когда существует интенсивная общественная осведомленность о атаке Stagefright, Exodus не мог держать ошибку в секрете.

Exodus добавил:

«На ошибку было привлечено чрезмерное внимание. Мы считаем, что, вероятно, мы не единственные, кто заметил, что она ошибочна. У других могут быть злонамеренные намерения.»

Тем не менее, Google подчеркнула важность систем смягчения, таких как Randomization of Address Space Layout (ASLR), которые присутствуют в устройствах Android. Она сделала заявление, в котором говорится: «в настоящее время более 90% устройств Android имеют включенную технологию ASLR, которая защищает пользователей от этой проблемы.»

Что ж, пока пользователям Android нужно быть осторожными и внимательными, когда они открывают сообщения, полученные от неизвестных источников. Обратитесь к подробному анализу Stagefright и тому, как можно остановить атаку Stagefright, упомянутому в нашей предыдущей статье.