Уязвимости присутствуют в системных компонентах Android с названиями libutils и libstagefright, они позволяют эксплойту работать с максимальными правами на устройстве, получая над ним полный контроль. Это позволяет атакующим устанавливать на него вредоносное ПО и красть конфиденциальную информацию пользователя.
Основным вектором атаки с использованием этих уязвимостей является мобильный веб-браузер, который может позволить пользователю проиграть удаленный медиа-файл. Подобной операции достаточно для эксплуатации этих уязвимостей, так как оригинальные уязвимости Stagefright уже были закрыты Google ранее и атакующие не могут полагаться на отправку MMS-сообщений и автоматического срабатывания эксплойта. В данном случае, им необходимо тем или иным способом заманить пользователя на веб-сайт с вредоносным содержимым. Самим уязвимостям подвержены все версии этой мобильной ОС.
Соответствующее обновление для исправления этих уязвимостей еще не вышло, но Google обещает исправить их в этом месяце, также в рамках месячного набора обновлений. Список выпущенных бюллетеней безопасности Android можно найти по этой ссылке. Мы рекомендуем пользователям не переходить по фишинговым ссылкам из текстовых SMS-сообщений или сообщений электронной почты, а также не посещать подозрительные ресурсы на которых предлагается прослушать предлагаемый контент.
be secure.
Комментарии (8)
Pilat
02.10.2015 16:44Ну и как после фокусов Билайна с выдачей дубликатов симок, после таких дыр полагаться на телефон как второе устройство аутентификации?
oWeRQ
02.10.2015 17:40+6Со стороны google было бы крайне мило как минимум сделать затычку в WebView и Chrome.
Исправление уязвимости нулевого дня с задержкой в месяц и не для всех — жесть, как есть.
TheRabbitFlash
15.10.2015 02:36-1с задержкой в месяц и не для всех — жесть, как есть.
Да они просто тратят много ресурсов на обсирание флеш плеера
nikitasius
02.10.2015 18:41-4Время ставить убунту!
egyp7
03.10.2015 07:52+5Уязвимость в libstagefright слишком сложно эксплуатировать — поэтому считаю, что паника смысла не имеет: много шума — воза мало. Журналюги и аверы как обычно слишком преувеличивают. В соседнем треде был эпик с винраром, а тут вот уже со Stagefright #2. Если ESET опубликовали это не ради PR, то я даже хз что и думать. Замечание для esetnod32: было бы куда лучше если бы ваши специалисты хоть немного разбирали материал перед публикациями. Мне куда приятней видеть аналитику от ваших специалистов, а не голый репост(рерайт) с новостных лент твиттера.
Я много эксперементировал с самым успешным эксплоитом из этой серии — CVE-2015-1538(#1). Об универсальном векторе атаки и речи быть не может. На Samsung Galaxy Alpha5 с Android 4.4.4 эксплуатировать уже практически не реально, в первую очередь, ввиду иной имплементации ASLR. Эксплоит опубликованный Джошуа Дрейком(тут с моим фиксом: https://github.com/egyp7/cve-2015-1538-1) имеет слишком много завязок на конкретное устройство: rop pivoting с фикс. адресом(да здраствует хардкор!), ограниченная версия ASLR на Android 4.0.4. Вообщем код оставляет желать лучшего. Вот тут опубликованна более лучшая реализация сплойта https://code.google.com/p/google-security-research/issues/detail?id=502 на базе которой, мне удалось написать RCE эксп для Samsung Galaxy S3 с Android 4.1.2. Замечу что эксп. получился крайне нестабильным и работает также только на ограниченном колличестве устройств,
т.е это не миллионы устройств как утверждают в Zimperium.
entze
Пара вопросов.
1) может ли антивирус под андроид проверять медиафайлы в разделе мета и препятствовать воспроизведению системой?
2) такие медиафайлы ведь могут воспроизводится автоматически, значит стоит ждать появления попапов с файлами в левых рекламных сетях?