Metaphor – nowy Stagefright w Androidzie

27 kwietnia, 2016

Firma NorthBit trudniąca się szeroko pojętym cyberbezpieczeństwem informuje o nowym sposobie wykorzystania luki Stagefright w urządzeniach z systemem Android od wersji 2.2 do 4.0 oraz od 5.0 do 5.1. Przypomnijmy, że Stagefright to właściwie cały zestaw luk (CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829 and CVE-2015-3864) w bibliotece Stagefright (nazwa Stagefright pochodzi od bliblioteki) w systemie Android, która odpowiedzialna jest za przetwarzanie elementów multimedialnych (audio, wideo). W okresie wykrycia luki, a więc latem 2015 roku, na nieautoryzowane wykonanie złośliwego kodu podatnych było 95% wszystkich urządzeń z systemem Android na całym świecie. Tym razem ESET informuje, że specjaliści z NorthBit znaleźli nowy wariant exploita, którego nazwali Metaphor i który szczególnie zagraża użytkownikom urządzeń podatnych na Stagefright. 

Podatność swojego smartfona na Stagefright sprawdzisz np. przy pomocy aplikacji ESET Stagefright Detector lub Stagefright Detector firmy Zimperium, której to pracownik wykrył błędy w bibliotece Stagefright. Aplikacje znajdziesz w Google Play.

Luka Stagefright została już co prawda załatana w najnowszych wersjach systemu Android. Nadal jednak zagraża tym użytkownikom, którzy posiadają starsze wersje systemu. Analitycy NorthBit, badając Stagefright, odnaleźli nowy sposób jego wykorzystania. 

Do tej pory przejęcie kontroli następowało na dwa sposoby: za pomocą wiadomości MMS – bez konieczności interakcji ze strony użytkownika lub za pośrednictwem spreparowanego linku, dołączanego do wiadomości email lub SMS – wtedy użytkownik musiał kliknąć w otrzymany odnośnik. Jak wygląda proces wykorzystania luki przez Metaphor? Wystarczy, że użytkownik wejdzie na stronę z zainfekowanym plikiem wideo. W efekcie w urządzeniu zawieszona zostaje usługa media server (odpowiedzialna za odtwarzanie multimediów).

Równolegle na to samo urządzenie wysyłany jest plik, który zbiera dane o smartfonie czy tablecie i przesyła je do serwera atakującego. Serwer ten następnie wysyła spreparowany plik wideo, który doprowadza do infekcji. Cała operacja może wydawać się skomplikowana, ale w rzeczywistości trwa zaledwie 20 sekund. W tym czasie użytkownik nie wie, że jego urządzenie jest atakowane. Gdy akcja się powiedzie, atakujący uzyskuje dostęp do wszystkich danych znajdujących się na urządzeniu, a dodatkowo może podsłuchiwać i podglądać ofiarę. 

Exploit Metaphor unika wykrycia przez mechanizmy zabezpieczające urządzenie. W najnowszych wersjach systemu Metaphor może ominąć ASLR, czyli wewnętrzne zabezpieczenie systemu przed działaniem exploitów. Metaphor działa na wersjach systemu Android od 2.2 do 4.0 oraz od 5.0 do 5.1, a proof of concept znajduje się w sieci.

źródło: ESET

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]