Атака Stagefright: для взлома Android-смартфона достаточно всего одного текстового сообщения

Атака Stagefright, Мать всех уязвимостей Android, ставит под угрозу 950 миллионов смартфонов

Более 95 процентов Android-смартфонов в обращении, или примерно 950 миллионов смартфонов, могут быть уязвимы к уникальной, но критической атаке взлома, называемой Stagefright.

Джошуа Дрейк из Zimperium Mobile Security обнаружил шесть + одну критическую уязвимость в встроенном медиаплеере, называемом Stagefright. Он называет эти уязвимости «Матерью всех уязвимостей Android».

Дрейк заявил, что уязвимости могут быть использованы, отправив одно мультимедийное текстовое сообщение на незащищенный Android-смартфон. Хотя эксплойт смертелен, в некоторых случаях, когда телефоны обрабатывают код атаки до открытия сообщения, эксплойты остаются незамеченными, и у пользователя будет мало шансов защитить свои данные.

Stagefright — это встроенный инструмент воспроизведения медиа, используемый Android, и все эти уязвимости находятся в нем. Дрейк утверждает, что все они являются «ошибками удаленного выполнения кода», позволяя злонамеренным хакерам проникать в устройства и извлекать личные данные.

Согласно Дрейку, все, что потенциальному хакеру нужно сделать, это отправить эксплойты на предполагаемые номера мобильных телефонов. Оттуда они могут отправить эксплойт, упакованный в мультимедийное сообщение Stagefright (MMS), что позволит им записывать код на устройство и красть данные из разделов телефона, доступных с разрешениями Stagefright.

Как только уязвимость будет использована, хакеры могут получить доступ почти ко всему, включая запись аудио и видео, шпионить за фотографиями, хранящимися на SD-картах. Даже скромный Bluetooth-радио также может быть взломан через Stagefright.

В зависимости от используемого приложения MMS жертва может никогда не узнать, что она даже получила сообщение.

Уязвимости настолько критичны, что отправка кода эксплойта в Google Hangouts жертвы «мгновенно активирует эксплойт, даже прежде чем пользователь сможет взглянуть на смартфон или прежде чем он даже получит уведомление».

Еще один интересный аспект эксплойта заключается в том, что как только он был доставлен, хакер может удалить сообщение до того, как пользователь был уведомлен об этом, что делает атаки совершенно незаметными.

Дрейк представит полное раскрытие вместе с доказательством концепции на Def Con 6 августа. Он заявил Forbes, что сообщил о багах в апреле этого года, и Google разослал патчи своим партнерам по производству смартфонов.

Дрейк заявил, что всего семь уязвимостей были отправлены в Google к 9 апреля 2015 года, и Google сообщила ему, что запланировала патчи на 8 мая 2015 года. Более того, Google заверила Дрейка, что все будущие версии Android будут выпущены с предустановленными патчами против этих уязвимостей.

Однако, как это часто бывает с любыми обновлениями Android-смартфонов, производители смартфонов редко передают патчи конечным пользователям смартфонов. Особенно это касается небольших производителей, которые делают локализованные Android-смартфоны. Таким образом, можно с уверенностью предположить, что почти 950 миллионов Android-смартфонов и планшетов в обращении могут быть подвержены эксплуатации с использованием уязвимости Stagefright.

«Все устройства следует считать уязвимыми», — сказал Дрейк Forbes. Дрейк говорит, что только Android-телефоны ниже версии 2.2 не подвержены этой конкретной уязвимости.

«Я провел много тестов на Galaxy Nexus с Ice Cream Sandwich… где стандартное MMS — это приложение для обмена сообщениями Messenger. Оно не срабатывает автоматически, но если вы посмотрите на MMS, оно срабатывает, вам не нужно пытаться воспроизвести медиа или что-то еще, вам просто нужно на него взглянуть», — добавил Дрейк.

В emailed-заявлении, отправленном Forbes, Google поблагодарила Дрейка за сообщение о проблемах и предоставление патчей, отметив, что ее партнеры-производители должны развернуть их в ближайшие недели и месяцы.

«Большинство Android-устройств, включая все новые устройства, имеют несколько технологий, которые предназначены для усложнения эксплуатации. Android-устройства также включают песочницу приложений, предназначенную для защиты пользовательских данных и других приложений на устройстве», — сказал представитель. Представитель Google связался с Techworm и сообщил, что они будут выпускать дополнительные патчи для устройств Nexus на следующей неделе перед началом DefCon 2015. В письме также говорится, что Google уже выпустила исправление для производителей смартфонов, однако в письме не уточнялось, какие производители смартфонов выпустили патчи для конечных пользователей. В письме говорится: «Эта уязвимость была выявлена в лабораторных условиях на старых Android-устройствах, и, насколько нам известно, никто не пострадал. Как только мы узнали о уязвимости, мы предприняли немедленные действия и отправили исправление нашим партнерам для защиты пользователей. В рамках регулярно запланированного обновления безопасности мы планируем выпустить дополнительные меры безопасности для устройств Nexus, начиная с следующей недели. И мы выпустим это в открытом доступе, когда детали будут обнародованы исследователем на BlackHat.»

DefCon 2015 начинается в первую неделю августа 2015 года, и мы ожидаем, что многие уязвимости будут обнародованы в ходе крупнейшей в мире конференции по взлому. Мы также ищем комментарии Google по недавно раскрытой уязвимости Silent Attack от Trend MicroLabs, которая делает уязвимыми почти 500 миллионов Android-смартфонов.