Firma NorthBit trudniąca się szeroko pojętym cyberbezpieczeństwem informuje o nowym sposobie wykorzystania luki Stagefright w urządzeniach z systemem Android od wersji 2.2 do 4.0 oraz od 5.0 do 5.1. Przypomnijmy, że Stagefright to właściwie cały zestaw luk (CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829 and CVE-2015-3864) w bibliotece Stagefright (nazwa Stagefright pochodzi od bliblioteki) w systemie Android, która odpowiedzialna jest za przetwarzanie elementów multimedialnych (audio, wideo). W okresie wykrycia luki, a więc latem 2015 roku, na nieautoryzowane wykonanie złośliwego kodu podatnych było 95% wszystkich urządzeń z systemem Android na całym świecie. Tym razem ESET informuje, że specjaliści z NorthBit znaleźli nowy wariant exploita, którego nazwali Metaphor i który szczególnie zagraża użytkownikom urządzeń podatnych na Stagefright.
Podatność swojego smartfona na Stagefright sprawdzisz np. przy pomocy aplikacji ESET Stagefright Detector lub Stagefright Detector firmy Zimperium, której to pracownik wykrył błędy w bibliotece Stagefright. Aplikacje znajdziesz w Google Play.
Luka Stagefright została już co prawda załatana w najnowszych wersjach systemu Android. Nadal jednak zagraża tym użytkownikom, którzy posiadają starsze wersje systemu. Analitycy NorthBit, badając Stagefright, odnaleźli nowy sposób jego wykorzystania.
Do tej pory przejęcie kontroli następowało na dwa sposoby: za pomocą wiadomości MMS – bez konieczności interakcji ze strony użytkownika lub za pośrednictwem spreparowanego linku, dołączanego do wiadomości email lub SMS – wtedy użytkownik musiał kliknąć w otrzymany odnośnik. Jak wygląda proces wykorzystania luki przez Metaphor? Wystarczy, że użytkownik wejdzie na stronę z zainfekowanym plikiem wideo. W efekcie w urządzeniu zawieszona zostaje usługa media server (odpowiedzialna za odtwarzanie multimediów).
Równolegle na to samo urządzenie wysyłany jest plik, który zbiera dane o smartfonie czy tablecie i przesyła je do serwera atakującego. Serwer ten następnie wysyła spreparowany plik wideo, który doprowadza do infekcji. Cała operacja może wydawać się skomplikowana, ale w rzeczywistości trwa zaledwie 20 sekund. W tym czasie użytkownik nie wie, że jego urządzenie jest atakowane. Gdy akcja się powiedzie, atakujący uzyskuje dostęp do wszystkich danych znajdujących się na urządzeniu, a dodatkowo może podsłuchiwać i podglądać ofiarę.
Exploit Metaphor unika wykrycia przez mechanizmy zabezpieczające urządzenie. W najnowszych wersjach systemu Metaphor może ominąć ASLR, czyli wewnętrzne zabezpieczenie systemu przed działaniem exploitów. Metaphor działa na wersjach systemu Android od 2.2 do 4.0 oraz od 5.0 do 5.1, a proof of concept znajduje się w sieci.
źródło: ESET
Czy ten artykuł był pomocny?
Oceniono: 0 razy