Przejdź do głównej zawartości

Dziurawy Android - luka w Stagefright

Dlaczego panika jest niewskazana i jak zabezpieczyć system?

Niedawne doniesienie medialne mówiące o poważnej luce występującej w oprogramowaniu Android, która sprawia, że 95 procent smartfonów pracujących pod kontrolą tego systemu jest podatnych na atak. To poważny problem, niemniej do całej sprawy należy podejść z rozwagą. G DATA udziela kilku wskazówek pozwalających nieco złagodzić sytuację, choć całkowite rozwiązanie problemu spoczywa na barkach producentów sprzętu.

Na czym polega kłopot?
Głównym winowajcą całego zamieszania jest dziura znajdująca się w bibliotece Stagefright, odpowiadającej za przetwarzanie multimediów. Silnik Stagefright służy do nagrywania oraz odtwarzania plików audio oraz wideo. Napastnicy, posługując się odpowiednio spreparowanym plikiem, mogą uruchomić złośliwy kod na urządzeniu. Cały proces przebiega w tle, bez wiedzy i zaangażowania użytkownika terminalu.

Dlaczego luka jest tak niebezpieczna?
W systemie istnieje przynajmniej jedna możliwość przeprowadzenia ataku, w wyniku którego użytkownik urządzenia staje się praktycznie bezbronny. Spreparowany plik wysyłany jest MMS-em, dzieje się tak ponieważ większość telefonów przetwarza treść wiadomości, zanim poinformuje użytkownika o jej otrzymaniu. Następnie hakerzy mają otwartą furtkę i mogą zarówno zainfekować urządzenie, jak i nabyć uprawnienia administratora.

Co ciekawe, haker może usunąć MMS, bezpośrednio po udanej akcji, w ten sposób  ofiara nie dostrzeże jakiejkolwiek ingerencji. Notabene kwestie związane z atakami przeprowadzanymi za pośrednictwem MMS-ów są przedmiotem licznych dyskusji, wiele ciekawych informacji na temat Stagefrigha pojawiło się podczas tegorocznej konferencji BlackHat.

Dlaczego użytkownik jest prawie bezbronny? Co robić?
Zlikwidowanie luk występujących w kodzie źródłowym systemu operacyjnego to zadanie dla producentów urządzeń. To oni muszą usunąć usterki i dostarczyć uaktualnienia dla różnych wersji systemów operacyjnych znajdujących się na urządzeniach użytkowników. Jednak warto zaznaczyć, że łatanie dziur w systemie operacyjnym Android, nie do końca rozwiązuje problem. Wielu dostawców urządzeń mobilnych stosuje różnego rodzaju nakładki, własne, zmodyfikowanie wersje oprogramowania.

Niemniej istnieją dwa sposoby pozwalające lepiej zabezpieczyć się przed atakami przeprowadzanymi za pośrednictwem MMS-ów.

PORADY - jak chronić się przed luką StageFright?
§  Należy uniemożliwić automatyczne ładowanie zawartości MMS-ów w ustawieniach urządzenia
§  Jeśli to możliwe, użytkownicy telefonów powinni zablokować wiadomości pochodzące od nieznanych osób

Kto jest najbardziej zagrożony?
Podatne na atak są wszystkie wersje Androida od wersji 2.2 w górę, co oznacza, że problem dotyczy obecnie około 95% smartfonów działających pod kontrolą systemu z zielonym ludzikiem. Najbardziej narażone na infekcje są wersje oprogramowania, które poprzedzały wersje Jelly Bean (około 11% wszystkich urządzeń). Jednak w praktyce nie ma to większego znaczenia, autorzy raportów przyznają, że użytkownicy zagrożonych smartfonów nie mogą czuć się bezpiecznie. CERT Division of the Software Engineering Institute publikuje na stronie internetowej listę zaatakowanych urządzeń.

Od kiedy wiemy o luce?
Pierwsza oficjalna informacja o wykryciu luki w Stagefright pojawiła się 27 lipca 2015 roku. Aczkolwiek użytkownik o pseudonimie Droopyar, znany w środowisku developerów Google, wspominał o jej istnieniu już w marcu!

Co dalej?
Według naukowców silnik Stagefright nie jest jedynym komponentem podatnym na nowy rodzaj ataków. Ich innowacyjność polega na tym, że smartfony i tablety są infekowane automatycznie, bez wiedzy i działania użytkownika. Wcześniej właściciele terminali musieli wykonać jakąś czynność. Ale to już historia. Nowe rodzajów ataków nie wymagają żadnej interakcji ze strony użytkownika. Już wkrótce można spodziewać się ofensywy cyberprzestępców, wykorzystujących ten groźny mechanizm. To oznacza, że kwestie związane z ochroną urządzeń mobilnych stają się dużo ważniejsze niż wcześniej.

Czy można wyciągnąć pozytywne wnioski z tego zdarzenia?
Google zapewnia, że terminale Nexus będą otrzymywać raz w miesiącu aktualizację bezpieczeństwa. Ponadto, w przyszłości urządzenia Nexus będą uzyskiwać główne aktualizacje przez 24 miesiące oraz aktualizacje bezpieczeństwa przez 36 miesięcy (początkową datę wyznacza debiutu modelu na rynku). Natomiast w przypadku kiedy model będzie wycofywany z oficjalnej sprzedaży, jego nabywcy otrzymają 18 miesięczne wsparcie, liczone od ostatniego dnia sprzedaży.


Jednak niejasna polityka w zakresie bezpieczeństwa urządzeń przenośnych należących do innych producentów, stawia klientów w dość trudnej sytuacji. Czas oczekiwania na aktualizację systemu czy łatanie dziur może być dość długi. Taki stan rzeczy prowadzi do dużych dysproporcji w zakresie bezpieczeństwa użytkowników Androida, co przewidywaliśmy już w G DATA Malware Report H1 2011.


Komentarze

Popularne posty z tego bloga

PUP – „programy usilnie przeszkadzające”

Internet pełny jest narzekań oraz pytań na temat potencjalnie niechcianego oprogramowania, w skrócie PUP (potenially unwanted programs). Użytkownicy skarżą się na wirusy, które zainfekowały ich przeglądarkę lub paski narzędzi, które włamały się do ich komputera.  Aplikacje z tej grupy nie są jednak przypisane do kategorii złośliwego oprogramowania w szczególności, że większości „infekcji” tego rodzaju jest dość łatwa do uniknięcia.  Ogólnie rzecz biorąc temat PUP jest wieloaspektowym problemem dla użytkowników i branży antywirusowej jednocześnie będąc dochodowym biznesem dla ich dystrybutorów.
PUP to nie malware Określenie złośliwe oprogramowanie odnosi do software’u, którego głównym celem jest wyrządzenie szkód na zainfekowanym urządzeniu lub kradzież informacji z zamiarem ich wykorzystania do działań przestępczych (kradzież tożsamości, nadużycia finansowe czy sprzedaż wykradzionych danych). Nie zawsze jednak możemy tak łatwo rozróżnić typowe złośliwe pliki od potencjalnie niechciane…

Ekspert ds. bezpieczeństwa na wakacjach: Czy hotelowe sejfy są bezpieczne?

Okres letni w mediach często nazywany ogórkowym ma swoje prawa. Jednym z nich są tematy, które normalnie nie przebiłyby się na pierwsze strony gazet czy nagłówki stron internetowych. Podobnie jest z historią, którą dziś będziemy chcieli wam przybliżyć. W normalny dzień roboczy nie jest to główne zadanie pracowników naszego SecurityLabu, jednak w okresie letnich wyjazdów postanowiliśmy sprawdzić jeden z hotelowych sejfów. I co? Z bezpieczeństwem nie ma on za dużo wspólnego.
Ekspert ds. bezpieczeństwa na wakacjach Wciąż jesteśmy na początku okresu wakacyjnego i wielu z nas długo wyczekiwany urlop ma wciąż w planach. Co powinniśmy wiedzieć wybierając się na wyjazd z wartościowymi rzeczami, na które tak ciężko pracowaliśmy przez cały rok poprzedzający nasz urlop? Jeżeli będziecie wypoczywać w hotelu możecie natknąć się w swoim pokoju na tzw. sejf hotelowy. Nasz ekspert wybrał się na zasłużoną przerwę od wyszukiwania i analizowania kolejnych wirusów i trojanów. W hotelu natknął się na popu…

Nic nie zamawiałeś? I tak możesz otrzymać maila o odbiorze paczki.

InPost i jego klienci na celowniku hakerów.
W naszych archiwalnych wpisach często mogliście natknąć się na opisy ataków lub kampanii phishingowych ukierunkowanych na użytkowników serwisu aukcyjnego Allegro. Ostatnio głośno było o nawiązaniu współpracy pomiędzy serwisem, a jednym z największych operatorów pocztowych w kraju firmą InPost. Może właśnie ta współpraca zwróciła uwagę cyberprzestępców, gdyż aktualnie jesteśmy świadkami zmasowanej kampanii phishingowej podszywającej się pod InPost.


Pracownicy G DATA SecurityLabs przechwycili i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”. Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila, ale o tym za chwilę.


PORÓWNANIE
Adres nadawcy wiadomości o tytule „P…