Уязвимость Silent Attack может сделать 500 миллионов смартфонов Android безжизненными

Table Of Contents

• Silent Attack : Уязвимость Mediaserver в смартфонах Android, работающих на Jelly Bean и Lollipop, делает их безжизненными (Обновлено)
• Silent Attack
• Доказательство концепции

Silent Attack : Уязвимость Mediaserver в смартфонах Android, работающих на Jelly Bean и Lollipop, делает их безжизненными (Обновлено)

Исследователи из TrendMicro Labs обнаружили странную уязвимость в устройствах Android, которая, если ее использовать, делает их безмолвными. Безмолвие здесь означает, что уязвимость делает эксплуатируемый смартфон Android безжизненным, неспособным совершать или принимать звонки с безжизненным экраном.

На сайте Trend MicroLabs говорится, что эта уязвимость присутствует во всех смартфонах и планшетах Android с версии Android 4.3 Jelly Bean до Android 5.1.1 (Lollipop). Trend не уточнил, подвержена ли текущая версия Android M этой атаке.

Версии Android 4.3 до Android 5.1.1 (Jelly Bean до Lollipop) используются почти в половине смартфонов Android в обращении, что означает, что почти 500 миллионов смартфонов Android подвержены этой уязвимости.

Silent Attack

Эту уязвимость можно использовать двумя способами: либо через вредоносное приложение, установленное на устройстве, либо через специально созданный веб-сайт, размещающий код PoC.

Первая техника может вызвать долгосрочные последствия для устройства Android, потому что если жертва установит приложение с встроенным MKV-файлом и если такое приложение зарегистрируется для автоматического запуска каждый раз, когда смартфон Android загружается, эксплойт будет активирован, что приведет к сбою устройства.

Во второй технике эксплойт активируется, когда владелец смартфона Android посещает неправильно сформированный веб-сайт, размещающий код, или устройство заставляют посетить такой веб-сайт.

Исследователи Trend Micro говорят, что уязвимость заключается в сервисе mediaserver, который используется Android для индексации медиафайлов, находящихся на устройстве Android.

Как только злоумышленник отправляет неправильно сформированный видеофайл на устройство Android, сервис mediaserver не может обработать это видео, используя контейнер Matroska, который используется файлами с расширением .mkv.

Из-за своей неспособности обработать неправильно сформированный MKV-файл сервис может выйти из строя, что приведет к тому, что устройство станет безжизненным.

Уязвимость вызвана переполнением целого числа, когда сервис mediaserver разбирает MKV-файл. Он читает память вне буфера или записывает данные по адресу NULL при разборе аудиоданных.

Исходный код ниже – найденный в файле frameworks/av/media/libstagefright/matroska/MatroskaExtractor.cpp – показывает уязвимость в деталях:

865 size_t offset = 1; 866 size_t len1 = 0; 867 while (offset < codecPrivateSize && codecPrivate[offset] == 0xff) {//codecPrivate контролируется mkv файлом 868 len1 += 0xff; 869 ++offset; 870 } 871 if (offset >= codecPrivateSize) { 872 return ERROR_MALFORMED; 873 } 874 len1 += codecPrivate[offset++]; 875 876 size_t len2 = 0; 877 while (offset < codecPrivateSize && codecPrivate[offset] == 0xff) { 878 len2 += 0xff; 879 ++offset; 880 } 881 if (offset >= codecPrivateSize) { 882 return ERROR_MALFORMED; 883 } 884 len2 += codecPrivate[offset++]; 885 886 if (codecPrivateSize < offset + len1 + len2) {//len1 или len2 может быть 0xffffffff, тогда произошло переполнение целого числа 887 return ERROR_MALFORMED; 888 } 889 890 if (codecPrivate[offset] != 0x01) { 891 return ERROR_MALFORMED; 892 } 893 meta->setData(kKeyVorbisInfo, 0, &codecPrivate[offset], len1);//сбой здесь

Доказательство концепции

Приложение Proof of Concept (PoC) предоставлено Trend Micro и воспроизведено ниже. Оно включает неправильно сформированный MKV-файл ( res/raw/crash.mkv) для демонстрации того, как работает эта атака. Как только приложение запущено, сервис mediaserver будет продолжать выходить из строя.

Рисунок 1. Сервис mediaserver постоянно перезапускается после активации эксплойта

Это приведет к тому, что устройство станет совершенно безмолвным и неотзывчивым. Это означает, что:

• Никакие рингтон, звуки сообщений или уведомлений не могут быть слышны. Пользователь не будет иметь представления о входящем звонке/сообщении и не сможет даже принять звонок. Ни одна из сторон не услышит друг друга.

• Интерфейс может стать очень медленным в ответе или полностью неотзывчивым. Если телефон заблокирован, его нельзя разблокировать.

Во многих отношениях эта уязвимость похожа на атаку Stagefright, о которой мы сообщали вчера. Атака Stagefright также активируется из-за специфического способа, которым экосистема Android OS обрабатывает медиафайлы. Единственное отличие заключается в том, что уязвимость атаки Stagefright затрагивает почти все смартфоны Android, а уязвимость Silent attack затрагивает только версии от Jelly Bean до Lollipop и то, как обе уязвимости обрабатывают медиафайлы.

Trend MicroLabs сообщает, что они уведомили Google (Команда Android Engineering) об уязвимости в мае 2015 года, но на данный момент никакой патч не был выпущен в коде Android Open Source Project (AOSP) командой Android Engineering для исправления этой уязвимости.

Techworm связался с Google, чтобы прокомментировать уязвимость, и представитель Google сообщил нам в ответном письме,

“Мы хотим поблагодарить исследователя за их отчет, так как это помогает укрепить безопасность Android. Хотя наша команда внимательно следит за потенциальной эксплуатацией, мы не видели никаких доказательств фактической эксплуатации. Если произойдет фактическая эксплуатация, единственный риск для пользователей – это временное нарушение воспроизведения медиа на их устройстве. Поэтому просто удаление неотзывчивого приложения или отказ от возврата на веб-сайт, который вызывает зависание браузера, исправит проблему. Кроме того, мы предоставим исправление в будущей версии Android.”