A Stagefright javítás nem teljes, a már patchelt Android eszközök is sebezhetőek

 ( trey | 2015. augusztus 14., péntek - 7:25 )

Kiderült, hogy a Stagefright sebezhetőséget felfedező Zimperium alkalmazottja, Joshua Drake egyik javítása nem lett tökéletes, így a már patchelt Android eszközök is sebezhetők. A Google tegnap javítást tett közzé és elküldte azt a partnereinek. A Nexus 4/5/6/7/9/10 és Nexus Player eszközök a szeptemberi havi biztonsági frissítés keretében kapják meg OTA a javítást.

A javításban levő hibát Jordan Gruskovnjak, az Exodus szakembere vette észre. Joshua Drake arra számít, hogy további javítások érkeznek majd a Stagefright kódbázisához a következő hónapokban. Szerinte a sztorinak messze nincs vége.

Az Exodus augusztus 7-én, a Las Vegas-i DEF CON első napján értesítette a Google-t a problémáról. Ez két nappal Drake Black Hat konferencián tartott Stagefright előadása után volt. A sebezhetőség a CVE-2015-3864 azonosítót kapta.

A részletek itt olvashatók.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

http://www.cyanogenmod.org/blog/more-stagefright

Idézet:
The issue described in the the latest publication of Stagefright issues (link) has been patched in source for CM 10.1 -> 12.1. Nightlies for 12.1 beginning tonight (~2hours) will include this fix, in addition to all the other exploits that came as a result of Stagefright and DefCon/Blackhat.

--
trey @ gépház

De legalább gyorsak voltak. :Đ

Bámulatos, hol tart már a tudomány...

Gyönyörű.
A szeptemberi frissítés a legjobb esetben is fél hónap múlva lesz, de lehet az 1,5 hónap is.
Kedves gúgel: lépj hátra és baszd arcon magad...

...de qrvára baszd arcon magad ;)

Mi mindigis mondtuk neked, hogy szar ceg a Google, de te sosem hitted el. ;)

:)

Sokan köpködték itt a gógelt mindenféle konkrétumok nélkül, főleg fasságok alapján. Pl. amikor megjegyeztem, hogy a gógel "vadászgépe" (mármint egyik té fórumtárs szerint) valójában egy sugárhajtású kiképzőgép, akkor persze én voltam az elvakult gógelfan. Azóta Linus is hasonlóval repked, de mindegy is.

Nem ez a lényeg, ez csak egy példa. A gógel csak egy cég, és mint olyan vannak dolgai. Vannak amiket jól csinál, vagy legalább elfogadhatóan, és vannak amiket nem.
Ez a "majd szeptemberben javítjuk" hozzáállás az utóbbiak közé tartozik.

Azért azt megjegyezném, hogy a Google a javítást már elkészítette, azt a partnereinek átadta, így ha azok akarnak, viszonylag rövid idő alatt léphetnek. Volt, aki már aznap kitolta a javítást az éjszakai buildjében.

Az, hogy a jövő hónapban jön a javítás, az sajnálatos, de semmiképpen sem nevezhető az iparágban egyedülálló jelenségnek. Ott van (vagy volt, a rossebb sem tudja már követni) a patch kedd például.

Illetve, nekem a kommunikációból az jön le, hogy a Google nem érzi akkora tragédiának a Stagefright-ot, mint amekkora a hype körülötte. Az ASLR-re hivatkoznak, ami miatt nem triviális a kihasználás. Illetve, gondolom folyamatosan monitorozzák a helyzetet és nem látják, hogy kihasználnák a hibát.

Természetesen az lenne a legjobb, ha másnap vagy még aznap javítanák az ilyen sebezhetőségeket.

--
trey @ gépház

Hát igen, de én nem azért vettem nexus5-öt, hogy várjak akár 1,5 hónapot arra a frissítésre, ami kész van a guglinál.
És még ha letölthető is (lenne, mert nem látom) az image, az akkor is factory reset-et jelent, ami pita.

"A Nexus 4/5/6/7/9/10 és Nexus Player eszközök a szeptemberi havi biztonsági frissítés keretében kapják meg OTA a javítást."

Ez mind szép és jó, és nagyon fasza, hogy havonta vannak patchelések, de addig akkor mindenki vulnerable... nem kéne ezeket instant foltozni amilyen gyorsan csak lehet? Miért kell egy menetrend szerinti tervhez igazítani ilyenkor a frissítést?!

A CyanogenMod nightly már tartalmazza a javítást. Itt az ideje lassan váltanom rá. Talán a hétvégén.

--
trey @ gépház

Kérdezd már meg a többi gyártót, nekik mi a vélemányük/érdekük? Vegyél egy ÚJ telefont!

Ragyogó, minden sebezhetőség után vegyek új telefont, azaz hetente. Ezerrel tele van már a bugyrom ezzel az Androiddal!
A következő telefonom vagy Cián-kompatibilis lesz, vagy Ubuntu. Valószínübb az utóbbi...

Frissült a Stagefright detektáló app, már detektálja a CVE-2015-3864-et is.

https://flic.kr/p/wqeX8i

--
trey @ gépház

Nos, én még mind azt mondom, hogy ez eleve egy Google backdoor. Na most a Googleos is srácok kurva nagy szarban vannak, mert úgy kéne valamit végleg javítani, amit eleve beletettek a rendszerbe, hogy valami másikat nyissanak meg. Másképp nem tudom egyszeri felhasználóként megmagyarázni azt, hogy megint ekkora hibát vétettek.

--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

Mi szükségük arra, hogy egy olyan bizonytalan backdoor-ra támaszkodjanak, aminek a kihasználása az ASLR miatt nem triviális, ráadásul minden Android eszközön jelen van a Google, azt telepít amit akar (Google App-ok)?

--
trey @ gépház

Talán mert a goggle appokhoz mobilnet is kell, a stagefrighthoz pedig csak egy telefonszám.

------------------------

És hogyan lopják el az adatot akkor? SMS-ben elküldi egy adott számra? Betárcsázós neten elcsiripeli?
Ezek mind benne lehetnek egy három évvel ezelőtti Play Servicesben - s annak a kódját nem túrhatja a fél net.

De, persze, tudom, ezzel a hibával is lebuktattuk a mocskos imperalistákat, s tovább gyengítjük a háttérhatalom erődítményét...
--
blogom

Nem gondoltad ezt végig szerintem :)

--
trey @ gépház

Szükségtelen átgondolni, hiszen a google köztudottan gonosz cég, ezért csak rosszat feltételezhetünk róla, és bármiben amihez köze van csak a rosszat szabad látni. :)