Когда исследователь Джошуа Дрейк (Joshua Drake) обнародовал первые сведения о критической уязвимости в мультимедийном движке Stagefright, он пообещал, что на этом проблемы не закончатся и исследователи продолжат докладывать об обнаруженных багах команде Android, отвечающей за безопасность.
Дрейк, возглавляющий платформу исследования и разработки эксплойтов Zimperium, доложил еще о двух уязвимостях в Stagefright — одна из них существует еще с первой версии Android, вторая появилась уже в Android 5.0. Уязвимостям, по расчетам исследователей, подвержен примерно миллиард устройств, которыми пользуются до сих пор.
Хотя первая инкарнация Stagefright была запатчена относительно быстро, а производители устройств и операторы оперативно предоставили соответствующее обновление, до основной массы пользователей оно дойдет нескоро. Представитель Google уточнил, что патч был доступен с 10 сентября. Сначала апдейт получат устройства Nexus в рамках регулярного обновления, запланированного на 5 октября. Также патчи были незапланированно предоставлены Android Open Source Project (ASOP) — об этом сообщил Зук Авраам (Zuk Avraham), основатель Zimperium.
Риски, которые несет в себе новая версия уязвимости в Stagefright 2.0, почти идентичны тем, которыми опасна первая версия этого бага. Единственное различие — вектор атаки, используемый для эксплуатации Stagefright до этого, был нейтрализован. Эффективный эксплойт позволял исполнять код удаленно и добиваться повышения привилегий, что в конечном итоге привело бы к захвату контроля над устройством. Эксплуатируя уязвимость, хакеры смогли бы получить доступ к фотографиям, электронной почте, SMS- и MMS-сообщениям, а также записывать телефонные разговоры и загружать нежелательные приложения.
«Новый баг так же опасен, как тот, что был обнаружен в Stagefright 1.0», — подчеркнул Авраам. По его словам, Zimperium пока неизвестно о публичных эксплойтах. Но так как один из багов присутствует в Android с самых ранних версий, есть вероятность, что его уже эксплуатировали.
При этом для эксплуатации дыры в Stagefright 1.0 необходимо было послать специально созданное MMS-сообщение, которое тогда автоматически обрабатывалось в библиотеке Stagefright. Этот изъян был упразднен в соответствующем патче Android. В случае со Stagefright 2.0 наиболее логичным вектором атаки может стать мобильный браузер: злоумышленник способен обманом заставить пользователя перейти по ссылке и скачать эксплойт. Также эксплойт можно внедрить, используя положение «человек посередине» или вредоносное приложение, обращающееся к библиотеке, содержащей баг.
Stagefright имеет привилегии системного уровня, что дает атакующему возможность повысить их и перехватить контроль над чужим устройством. «Stagefright — не очень надежная библиотека, — сказал Авраам. — Она сама по себе напичкана уязвимостями, в коде содержится множество ошибок. Обработка мультимедийных данных, соответственно, не так безопасна, как требуется».
Одна из уязвимостей, CVE-2015-6602, была найдена в одной из библиотек Android под названием libutils — последняя стара как мир и появилась еще до того, как первые Android-смартфоны попали в руки пользователей. Вторая уязвимость затронула ibstagefright в Android 5.0 — эта библиотека сообщается с libutils небезопасным методом. Для эксплуатации этих багов хакеру достаточно использовать специально созданные MP3- и MP4-файлы. Особую обеспокоенность вызывает брешь в libutils, так как из-за нее под атакой могут оказаться различные связанные с ней элементы Android.
«Невозможно определить все сценарии использования ключевой библиотеки в рамках всей экосистемы Android, — считают в Zimperium. — В этом случае каждая строчка кода, ссылающаяся на уязвимую библиотеку, должна быть проверена: необходимо выяснить, вызывает ли код API-интерфейс в libutils небезопасным методом. Затем каждый сценарий, предполагающий такую возможность, нужно проанализировать в отдельном порядке».
Проблема с libstagefright затрагивает мультимедийные API, вызывающие уязвимую библиотеку. «В любом случае код, содержащий баг, исполняется внутри медиасервера», — пояснили в Zimperium. Stagefright — приложение, обладающее очень высокими привилегиями и имеющее доступ системного уровня в некоторых Android-устройствах. Stagefright используется для обработки различных популярных мультимедийных форматов, а использование нативного кода C++ делает этот компонент уязвимым для эксплуатации.
