Khai thác Android 'sân khấu': những gì bạn cần biết

Vào tháng 7 năm 2015, công ty bảo mật Zimperium tuyên bố rằng họ đã phát hiện ra một "kỳ lân" về lỗ hổng bên trong hệ điều hành Android. Thông tin chi tiết hơn đã được tiết lộ công khai tại hội nghị BlackHat vào đầu tháng 8 - nhưng không phải trước khi các tiêu đề tuyên bố rằng gần một tỷ thiết bị Android có thể có khả năng bị chiếm đoạt mà không cần người dùng biết.

Vậy "Sân khấu" là gì? Và bạn có cần phải lo lắng về nó?

Chúng tôi liên tục cập nhật bài viết này khi có thêm thông tin được phát hành. Đây là những gì chúng tôi biết, và những gì bạn cần biết.

Stagefright là gì?

"Stagefright" là biệt danh được đặt cho một khai thác tiềm năng sống khá sâu bên trong chính hệ điều hành Android. Điểm chính là một video được gửi qua MMS (tin nhắn văn bản) về mặt lý thuyết có thể được sử dụng như một con đường tấn công thông qua cơ chế libStageFright (do đó là tên "Stagefright"), giúp Android xử lý các tệp video. Nhiều ứng dụng nhắn tin văn bản - ứng dụng Hangouts của Google đã được đề cập cụ thể - tự động xử lý video đó để nó sẵn sàng để xem ngay khi bạn mở tin nhắn và vì vậy về mặt lý thuyết, cuộc tấn công có thể xảy ra mà bạn không hề biết.

Vì libStageFright có từ Android 2.2, hàng trăm triệu điện thoại chứa thư viện thiếu sót này.

17-18 / 8: Khai thác vẫn còn?

Ngay khi Google bắt đầu tung ra các bản cập nhật cho dòng Nexus của mình, công ty Exodus đã xuất bản một bài đăng trên blog một cách lén lút nói rằng ít nhất một khai thác vẫn chưa được cập nhật, ngụ ý rằng Google đã làm hỏng mã. Ấn phẩm của Anh, Sổ đăng ký, trong một văn bản được viết khéo léo, trích dẫn một kỹ sư từ Rapid7 cho biết bản sửa lỗi tiếp theo sẽ đến trong bản cập nhật bảo mật của tháng 9 - một phần của quy trình vá bảo mật hàng tháng mới.

Google, về phần mình, vẫn chưa công khai giải quyết khiếu nại mới nhất này.

Trong trường hợp không có thêm thông tin chi tiết nào cho phần này, chúng tôi có xu hướng tin rằng tệ hơn là chúng tôi trở lại nơi chúng tôi bắt đầu - rằng có những lỗ hổng trong libStageFight, nhưng có những lớp bảo mật khác sẽ giảm thiểu khả năng của các thiết bị thực sự đang được khai thác

Một ngày 18 tháng 8. Trend Micro đã xuất bản một bài đăng trên blog về một lỗ hổng khác trong libStageFright. Họ nói rằng họ không có bằng chứng về việc khai thác này thực sự đang được sử dụng và Google đã xuất bản bản vá cho Dự án mã nguồn mở Android vào ngày 1 tháng 8.

Chi tiết sân khấu mới kể từ ngày 5 tháng 8

Kết hợp với hội nghị BlackHat ở Las Vegas - tại đó chi tiết hơn về lỗ hổng Stagefright được tiết lộ công khai - Google đã giải quyết tình huống cụ thể, với kỹ sư trưởng về bảo mật Android, ông Adrian Ludwig nói với NPR rằng "hiện tại, 90% thiết bị Android có công nghệ được gọi là ASLR, giúp bảo vệ người dùng khỏi sự cố."

Điều này rất mâu thuẫn với dòng "900 triệu thiết bị Android dễ bị tấn công" mà chúng ta đều đã đọc. Mặc dù chúng ta sẽ không gặp phải một cuộc chiến về ngôn từ và giáo dục về các con số, nhưng Ludwig đã nói rằng các thiết bị chạy Android 4.0 trở lên - đó là khoảng 95% tất cả các thiết bị hoạt động với dịch vụ của Google - có khả năng chống lại một cuộc tấn công tràn bộ đệm được xây dựng trong.

ASLR (A ddress S speed L ayout R andomization) là một phương pháp giúp kẻ tấn công không thể tìm thấy chức năng mà chúng muốn thử và khai thác một cách đáng tin cậy bằng cách sắp xếp ngẫu nhiên các không gian địa chỉ bộ nhớ của một quá trình. ASLR đã được kích hoạt trong Linux Kernel mặc định từ tháng 6 năm 2005 và đã được thêm vào Android với Phiên bản 4.0 (Ice Cream Sandwich).

Làm thế nào mà cho một ngụm?

Điều đó có nghĩa là các khu vực chính của chương trình hoặc dịch vụ đang chạy không được đặt vào cùng một vị trí trong RAM mỗi lần. Đưa mọi thứ vào bộ nhớ một cách ngẫu nhiên có nghĩa là bất kỳ kẻ tấn công nào cũng phải đoán nơi cần tìm dữ liệu mà chúng muốn khai thác.

Đây không phải là một sửa chữa hoàn hảo, và mặc dù một cơ chế bảo vệ chung là tốt, chúng tôi vẫn cần các bản vá trực tiếp chống lại các khai thác đã biết khi chúng phát sinh. Google, Samsung (1), (2) và Alcatel đã công bố bản vá trực tiếp cho sân khấu và Sony, HTC và LG cho biết họ sẽ phát hành bản vá cập nhật vào tháng 8.

Ai tìm thấy khai thác này?

Khai thác được công bố vào ngày 21 tháng 7 bởi công ty bảo mật di động Zimperium như một phần của thông báo cho bữa tiệc thường niên của mình tại hội nghị BlackHat. Bạn đã đọc đúng. "Mẹ của tất cả các lỗ hổng Android", như Zimperium nói, đã được công bố vào ngày 21 tháng 7 (một tuần trước khi bất kỳ ai quyết định quan tâm, rõ ràng), và chỉ một vài từ về vụ đánh bom thậm chí còn lớn hơn của "Vào tối ngày 6 tháng 8, Zimperium sẽ khuấy động bữa tiệc ở Vegas! " Và bạn biết đó sẽ là một tay đua bởi vì đó là "bữa tiệc Vegas hàng năm của chúng tôi dành cho các ninja yêu thích của chúng tôi", hoàn toàn với hashtag của rockin và mọi thứ.

Khai thác rộng rãi như thế nào?

Một lần nữa, số lượng thiết bị có lỗ hổng trong thư viện libStageFright là khá lớn, vì nó nằm trong chính hệ điều hành. Nhưng như Google đã lưu ý một số lần, có những phương pháp khác được sử dụng để bảo vệ thiết bị của bạn. Hãy nghĩ về nó như bảo mật trong các lớp.

Vậy tôi có nên lo lắng về Stagefright hay không?

Tin tốt là nhà nghiên cứu đã phát hiện ra lỗ hổng này trong Stagefright "không tin rằng các tin tặc ngoài tự nhiên đang khai thác nó." Vì vậy, đó là một điều rất tồi tệ mà dường như không ai thực sự sử dụng để chống lại bất cứ ai, ít nhất là theo người này. Và, một lần nữa, Google cho biết nếu bạn đang sử dụng Android 4.0 trở lên, có lẽ bạn sẽ ổn.

Điều đó không có nghĩa là nó không phải là một khai thác tiềm năng xấu. Nó là. Và nó nhấn mạnh thêm những khó khăn của việc cập nhật được đẩy ra thông qua hệ sinh thái của nhà sản xuất và nhà mạng. Mặt khác, đó là một con đường tiềm năng để khai thác mà dường như đã có từ thời Android 2.2 - hay về cơ bản là năm năm qua. Điều đó hoặc làm cho bạn một quả bom hẹn giờ, hoặc một u nang lành tính, tùy thuộc vào quan điểm của bạn.

Và về phần mình, Google vào tháng 7 đã nhắc lại với Android Central rằng có nhiều cơ chế để bảo vệ người dùng.

Chúng tôi cảm ơn Joshua Drake vì những đóng góp của anh ấy. Bảo mật của người dùng Android là vô cùng quan trọng đối với chúng tôi và vì vậy chúng tôi đã phản hồi nhanh chóng và các bản vá đã được cung cấp cho các đối tác có thể áp dụng cho bất kỳ thiết bị nào.

Hầu hết các thiết bị Android, bao gồm tất cả các thiết bị mới hơn, có nhiều công nghệ được thiết kế để làm cho việc khai thác trở nên khó khăn hơn. Các thiết bị Android cũng bao gồm một hộp cát ứng dụng được thiết kế để bảo vệ dữ liệu người dùng và các ứng dụng khác trên thiết bị.

Điều gì về bản cập nhật để sửa chữa Stagefright?

Chúng tôi sẽ cần cập nhật hệ thống để thực sự vá điều này. Trong "Nhóm bảo mật Android" mới của mình trong một bản tin ngày 12 tháng 8, Google đã phát hành một "bản tin bảo mật Nexus" chi tiết mọi thứ từ cuối của nó. Có nhiều chi tiết về nhiều CVE (Các lỗ hổng và Phơi nhiễm chung), bao gồm cả khi các đối tác được thông báo (sớm nhất là vào ngày 10 tháng 4), trong đó xây dựng các bản sửa lỗi nổi bật của Android (Android 5.1.1, xây dựng LMY48I) và bất kỳ yếu tố giảm thiểu nào khác (sơ đồ bộ nhớ ASLR đã nói ở trên).

Google cũng cho biết họ đã cập nhật ứng dụng Hangouts và Messenger để họ không tự động xử lý tin nhắn video ở chế độ nền "để phương tiện không tự động được chuyển sang quy trình trung gian."

Tin xấu là hầu hết mọi người đang phải chờ các nhà sản xuất và nhà mạng để đưa ra các bản cập nhật hệ thống. Nhưng, một lần nữa - trong khi chúng ta đang nói về thứ gì đó như 900 triệu điện thoại dễ bị tấn công ngoài kia, chúng ta cũng đang nói về những trường hợp khai thác không ai biết đến. Đó là những tỷ lệ cược khá tốt.

HTC đã cho biết các bản cập nhật từ đây trở đi sẽ chứa bản sửa lỗi. Và CyanogenMod cũng đang kết hợp chúng.

Motorola cho biết tất cả các điện thoại thế hệ hiện tại của hãng - từ Moto E đến Moto X mới nhất (và mọi thứ ở giữa) sẽ được vá, mã này sẽ được chuyển đến các nhà mạng bắt đầu từ ngày 10 tháng 8.

Vào ngày 5 tháng 8, Google đã phát hành hình ảnh hệ thống mới cho Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 và Nexus 10. Google cũng thông báo rằng họ sẽ phát hành bản cập nhật bảo mật hàng tháng cho dòng Nexus cho dòng Nexus. (Bản dựng M Preview được phát hành công khai lần thứ hai dường như cũng đã được vá.)

Và trong khi anh ấy không đặt tên cho khai thác Stagefright theo tên, thì trước đó, Adrian Ludwig trên Google+ đã đề cập đến việc khai thác và bảo mật nói chung, một lần nữa nhắc nhở chúng tôi về nhiều lớp bảo vệ người dùng. Anh ấy viết:

Có một giả định phổ biến, nhầm lẫn rằng bất kỳ lỗi phần mềm nào cũng có thể bị biến thành khai thác bảo mật. Trên thực tế, hầu hết các lỗi không thể khai thác và có rất nhiều điều Android đã làm để cải thiện các tỷ lệ cược đó. Chúng tôi đã dành 4 năm qua để đầu tư mạnh vào các công nghệ tập trung vào một loại lỗi - lỗi tham nhũng bộ nhớ - và cố gắng làm cho những lỗi đó trở nên khó khai thác hơn.