"Stagefright: mit kell tudni az új Android-horrorról?"

Címkék

"Katasztrofális sebezhetőséget talált a Zimperium zLabs az Android operációs rendszer összes, elmúlt pár évben kiadott verziójában. A támadáshoz a felhasználónak mozdulnia sem kell, csupán a telefonszám birtokában tökéletesen mattolható a rendszer. [...] Drake szerint a legsúlyosabban érintett telefonok a Jelly Bean előtti androidos modellek (ezek együttes részesedése a Play-es eszközök körében 11%), mivel ezek a rendszerek még kezdetleges védelemmel rendelkeznek, így a támadó sokkal szélesebb jogosultsággal rendelkezhet. [...] A Zimperium a Google-lal együttműködésben már el is készítette a javítást a problémára, ezt a Google saját hatáskörben 48 óra alatt el is fogadta és beemelte az AOSP forráskódjába - ez azonban még csak az első, nagyon apró lépés a javítások kiküldéséig. A nagyobb falat, hogy a gyártóknak kell frissítést kiküldeni az érintett modellekre, ami gyakorlatilag az összes, az elmúlt 5-6 évben legyártott modellt jelenti. Az androidos ökoszisztémát ismerve nulla az esélye annak, hogy az összes érintett telefon gyors ütemben hozzáférjen a frissítéshez, még arra sincs érdemi garancia, hogy az elmúlt két évben kiadott összes modellre legyen elérhető javítás.

Vannak persze, akik gyorsan mozdulnak. A Silent Circle-féle Blackphone már megkapta a biztonsági frissítést, a PrivatOS 1.1.7-ben már nincs benne a fenti sebezhetőség. Ugyanígy elkészült a javítás a népszerű CyanogenModhoz is, az elmúlt hetekben készült kiadások már védettek. A Google saját hatáskörben a Nexus modellek frissítéséért felel, a cég közlése szerint a következő héten érkezik javítás. A többi telefongyártó egyelőre nem válaszolt érdemben a frissítésekre vonatkozó megkeresésekre, a HTC-nek egy semmitmondó nyilatkozatra futotta ("a jövőben minden projektünk rendelkezik majd a javítással"), a többi cég még ennyit sem mondott."

A teljes cikk itt olvasható.

Hozzászólások

Amennyire átrágtam magam a témán, vagy az mms APN törlése, vagy az alapértelmezett MMS alkalmazásban a tartalom automatikus töltésének letiltása átmenetileg megoldást ad.

Itt is linkelték már: "If you install Firefox 38, you can no longer get exploited directly via Firefox," Drake told Ars. "However, if I make your Firefox download the malicious video instead of trying to play it with a tag, it will still reach the vulnerable Android code."
http://arstechnica.com/security/2015/07/950-million-android-phones-can-…

Normális HUP-ot használok!

Kösz, ez kimaradt.
De van valami amit nem értek: "Interestingly, the Stagefright vulnerability also affects Firefox on all platforms except Linux"

Tehát akkor (desktop) windows alatt is, mert ezt az egész stagefright miskulanciát belefaragták a firefox-ba? Vagy csak mobil platformok?

Az automata MMS letöltés kikapcsolása nem elegendő - és nyilván kézzel se töltök le ilyen vackot? (Már a 95% 95%-ának, aki nem MMS-ezik.)

erre én is kíváncsi lennék.

Bár az indexes cikkben hangouton küldött video szerepelt, amit következetesen MMS-nek hívtak.
Ez jól összezavart, mert úgy gondoltam, hogy az MMS az olyasmi, mint az SMS, a hangout meg egy csevegőalkalmazás, ahol akár videót is küldhetnek.

Meg Stagefright médialejátszó. Erről sosem hallottam. Lehet, hogy ettől függetlenül ez játsza le nekem is a videókat?

A libstagefright.so áll minden hardveresen gyorsított videólejátszás mögött Androidon.

Ez bizony nem fog megállni az MMS-nél, azzal csak demonstrálják a problémát, bármilyen forrásból jövő videónál para lesz. Talán MMS-sel egyből privilegizált hozzáférést lehet szerezni, appos lejátszásnál pedig csak az app kontextusában tud kódot futtatni a támadó, de ez sovány vigasz. Reméljük, hogy egy html5 video taggel nem lehet olyan inputot adni amivel kihasználható mert az még olcsóbb tamadás lenne mint az MMS.

Jó lenne tudni a részleteket.

"If you install Firefox 38, you can no longer get exploited directly via Firefox," Drake told Ars. "However, if I make your Firefox download the malicious video instead of trying to play it with a <video width="300" height="150"> tag, it will still reach the vulnerable Android code."

via

Chrome-ról nem beszélnek...

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

"A Metasploit vezető fejlesztője szerint az MMS üzenetek fogadásának teljes letiltása elegendő védelmet nyújt a támadás ellen - ha nem érkezik meg a videó a készülékre, akkor a Stagefright sem aktiválódik automatikusan."

Settings (az alapértelmezett SMS app-odon) -> MMS beállítások -> Auto-retrieve -> pipa ki

Ezt az MMS-t is kibaszhatnák nyugodtan, még ilyen useless szart, mint ez. Használja ezt valaki?

--
trey @ gépház

En neha amikor iMessage-et akarok kuldeni es rajovok hogy nicns iPhone-ja az illetonek es ezert fizethetem az MMS dijat sajat figyelmetlensegembol. ;)

Legutobb nagy mennyisegu alkhol hatasa alatt sikerult 5 kepet MMS-ben attolnom ("attolom akkor a kepeket", es kepenkent egy MMS) mire rajottem hogy az illetonek nem iPhone-ja van es ezert mindegyikert fizettem.

Nem kell ennek bedőlni. 3 iPhone-om volt, egyiken sem MMS-eztem. Talán egyetlen MMS-t küldtem és fogadtam az egyikkel, mert az egyik kollégám megkért, hogy teszteljük le. Részemről itt be is fejeződött az MMS-ezés. Illeve az asszonynak volt egy időben mániája, de amikor harmadszor kérdezte meg, hogy megkaptad? én meg mondtam neki, hogy meg, de lófaszt sem láttam, mert nem jelent meg a kép, akkor rájött ő is, hogy az egész technológia egy kalap szar.

Azóta megismerte az e-mailt.

--
trey @ gépház

Az MMS és a videohívás volt anno a mobilszolgáltatók két nagy marketing bullshitje. Ja, nem, volt még egy harmadik is: a mobilon filmnézés, amikor még a legtöbb telefonnak kb. 2 coll körüli képernyője volt. Emlékszem, anno ezeket milyen kétségbeesetten reklámozták szerencsétlenek, hogy befűzzék a nagyérdeműt.

Akikkel szoktam mms-ezni, azok iPhonet használnak, én Androidot, és nem használunk ugyan olyan IM rendszereket :/
Facebook Messengerjük talán van, de ebben sem vagyok biztos. Regisztrálva vannak, de nem nagyon szoktak facebookozni.
Az e-mail lehetne alternatíva, de az meg tényközlésre jó, beszélgetésre szar :)
Mondjuk azt hozzá kell tenni, hogy a havidíjban benne van az ingyen sms/mms, ha külön fizetni kéne érte, valószínü nem használnék mms-t én sem.

Akkor most iPhone userkent szoljak az Androidos ismeroseimenk, hogy toroljek ki a szamomat a telefonjukbol? A vegen meg valami csodas script hozzafer a contact-jaikhoz es kapom a spam SMS-eket. Hiaba szavaztam a penztarcammal.

Mert amikor az apple úgy dönt, hogy az újabb ios már nem jelenik meg egy bizonyos készülékre, akkor arra ki készít javítást?
Ha jól emlékszem még valamelyik korai generációs iphone lett otthagyva a 4.1.2-es ios verzióval, amiben volt olyan bug, hogy böngészőből lehetett jailbreakelni. Ha pedig jailbreakelni lehet, akkor bármit lehet vele csinálni...

Egyébként jogos az, hogy az androidos gyártóknak is össze kéne szedniük magukat a frissítések terén. Még ha nem is készítik fel az újabb android verziókat a régebbi telefonjaikra legalább a biztonsági javításokat illene backportolni a régi verzióba...

A sokéves 4S-emen a most kijövő iOS 9 menni fog, szóval így olyan 5-6 évről beszélünk, ami igen jó szerintem. Mindenképp sokéves perspektíva van egy _újonnan_ megvett, még "alap" Apple telóban is szerintem.

A feleségem Galaxy Ace jellegű telefonjához, ami kb. 2 éves már újkorában se nagyon volt frissítés, nemhogy most.

Azért az iphone4s eléggé kivétel ezzel az (becsült) 5-6 évvel. Jelenleg 3,5 éves a készülék, 4 éves lesz amikor kijön az ios9. Külön szerencse, hogy az ios9 leginkább csak gatyába rázott ios8 lesz, valamint hogy az 4s-t egy éve még elég sok helyen árulta maga az epül is.

Egyébként a "sima" 4-es a megjelenését követően 3-4 évig, a 3gs 4,5 évig, a sima 3g pedig 2,5 évig kapott új sw-t.

Ezzel persze az iphone messze veri szinte az összes androidos modellt, ez nem is kérdés, de ugye a 4s még az epül univerzumban is eléggé kivétel.

Alapból ro-ra van mountolva.


u0_a145@hammerhead:/system $ mount | grep "/system"
/dev/block/platform/msm_sdcc.1/by-name/system /system ext4 ro,seclabel,relatime,data=ordered 0 0

Bár kétségtelenül root-ként remountolható és írható, valaki meg is próbálta:

I tried chmod 0000 libstagefright* but my rooted 4.4.4 wouldn't boot afterwards.

As they say with great power comes great responsibility...

"Alapból ro-ra van mountolva."

Az három különböző téma, hogy milyen módon van üzemszerűen mount-olva és milyen módon lehet mount-olni a boot idején és milyen módon oldja meg a patch terítését a gyártó...

"I tried chmod 0000 libstagefright* but my rooted 4.4.4 wouldn't boot afterwards."

Kétségkívül könnyű eltoszni... :)

--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Ugy mukodik, hogy ha az alaprendszer reszet kepezo apk-t akarsz frissiteni, akkor abbol a frissitett apk-t a sima appok koze telepiti. Emiatt van, hogy az uninstall helyett csak a frissitest tudod leszedni, illetve hogy factory resetnel a frissites lejon, es a gyarilag telepitett verziot kapod vissza. Szoval hiaba read-only, nem okoz problemat, mert nem az fut.
Libek eseten nem tudom mukodik-e alapbol ez a mechanizmus, megfeleloen kitalalt es beallitott LD_LIBRARY_PATH eseten elkepzelheto.

--
The Bible is the longest set of Terms & Conditions ever.
So many people agree with it without knowing why.

"Ugy mukodik, hogy ha az alaprendszer reszet kepezo apk-t akarsz frissiteni, akkor abbol a frissitett apk-t a sima appok koze telepiti."

Nem apk-t kell frissíteni ez esetben.

"Libek eseten nem tudom mukodik-e alapbol ez a mechanizmus, megfeleloen kitalalt es beallitott LD_LIBRARY_PATH eseten elkepzelheto."

Nem így működik.

--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Igen itt kiderül most, hogy mekkora egy elba***tt nagy sz*r ez az egész.
Az általam eddig használt Linuxoknak (pl. Ubuntu) volt egy nagy előnye, hogy a csomagkezelés jól működött bennük.
Egy hasonló esetben az Ubuntu disztrómat akár egy óra múlva már patchelhetem egyetlen parancs kiadásával.
Na a gyártók a Google-el karöltve a Linuxnak pont ezt a jó tulajdonságát dobták ki és ba**ták szét.

Az Android by design insecure és ennek ez az egyik fő oka, mint ahogy a példa is mutatja.

Gratulálok.

♲♻♲

Ha megnézed ezt a cikket: http://hup.hu/cikkek/20150727/a_windows_10_automatikus_frissitesek_elke…
akkor láthatod, hogy a széles körű tesztelés lényegében lehetetlen, így egy frissítés - OS-től függetlenül - hazavághat egy csomó mindent. Épp ezért az Android megközelítés az, hogy nem az OS készítője, hanem a tesztelést a saját kütyüin előbb elvégző gyártó feladata az, hogy kiadja a frissítést, immár jóval biztonságosabban. Most majd megnézheted, melyik Android gyártó érzi magát ezen az érettségi szinten.

Pontosan erről van szó. Az MS - hiába a jó szándék - nem tudja az összes gyártó összes kütyüjén kipróbálni a változtatását, az egyéb különböző SW konfigokról nem is beszélve. Tehát csak reménykedhet, hogy nem ront el semmit. Ezért kell a frissítésnek a készülék gyártó vagy jobb esetben az üzemeltető kezében lennie. (Ez utóbbi történik a nagy cégeknél.)

Google Play Edition eszközöm van. Kíváncsi vagyok, mikor frissít a Google :)

"A nagyobb falat, hogy a gyártóknak kell frissítést kiküldeni az érintett modellekre, ami gyakorlatilag az összes, az elmúlt 5-6 évben legyártott modellt jelenti"

hahahahahaha

--
arch,debian,openelec,android

Nem kuldtem mms-t amiota androidom van. Parszor probalt valaki nekem kuldeni, de sosem sikerult megneznem, mert nem toltotte le a keszulek.

Azt hiszem nem kezdek el panikot szervezni a bug miatt.

Akkor én most örülhetek, hogy az 1% körüli részesedéssel bíró Blackberry tulaj vagyok? :)

Allitolag lehet, hogy 6-18 honapon belul akar egy-ket high-endebb Samsung es HTC telefon is megkaphatja a javitast.

ez a helyzet --úgy tűnik-- az iparág szégyene

Most fog eldőlni, hogy melyik márkák telefonjai közül fogok válogatni a következő beszerzésekor.

Most, hogy a 1+1 kihatralt a Cyanogen OS mogul, van egyaltalan olyan telefon, ami Cyanogen-nel jon alapban?

Es akkor meg is lehet nezni, hogy a Oneplus hazi OS-e, hogyan szerepel most...

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Vajon a lockolt telefonok viszonylag biztonságban vannak, aki meg rootolta a sajátját, az tárva nyitva hagyta a cuccot az egész világ előtt? Nekem az jött le, hogy ez a stagefright egy library, magyarul csak annak a programnak a sandboxán belül lehet törni, amelyiket távolról rá lehet venni médialejátszásra, és az nem sok. Illetve ezeket Play store-on keresztül is lehet védeni talán.

--

Samsung: "Google notified us about the issue, and we are working to roll out the software update as soon as possible."

Silent Circle (on Twitter): "We patched Blackphone weeks ago!"

Google Nexus: "We plan to push further safeguards to Nexus devices starting next week."

T-Mobile: "These kinds of security fixes are usually released by our third-party device partners. [...] so we're working with them to ensure those security updates have been deployed."

CERT VU#924951:

http://www.kb.cert.org/vuls/id/924951

--
trey @ gépház

Itt a kihívás, a sérülékenységen keresztül kell befoltozni a sérülékenységet..

Kis fikció, ne vegyétek túl komolyan, de azért felvet némi etikai (?) kérdést:

Ha valaki szabadjára engedne egy új vírust, ami annyiban más a többi vírustól, hogy "jót tesz". Tehát kipucol más vírusokat, ismert exploitokat befoltoz, ilyesmi...
Vajon milyen lenne a megítélése? Íratnák-e, vagy hagynák terjedni?

Ha jól tudom - majd kijavítanak - ez úgy szokott lenni, hogy van a terjedő és az ártó rész. Namost ha elengedsz egy ilyesmit, ami tud terjedni, az nyilván egy létező hibát használ ki. Aki ártani akar, az viszont legalább készen kapja így a terjesztő részt, amivel aztán a saját, némiképp önzőbb céljait támogatja.

ahhoz meg valasztek kellene, es nem evi egy modell X gyartotol, amit csak kacifantos modon lehet behozni az orszagba.

Igazabol en azt nem tudom felfogni, hogy egy LG-nek, Sony-nak mi a biznisz az Android kokanyolasaban. Csak maszatolnak, semmi normalisat egyike se irt ra. Tiszta ganyolda.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

A te altalad linkelt listaban van olyan mobil,
amelyik Cyanogenmod-ot telepitve nem kezeli a kamerat.

Ezzel nem azt allitom, hogy ebbol a cca. 50 eszkozbol egyik se lehet tokeletes, de hogy nem egy definitive shopping list az tuti.

szerk: megnezve belole random 5 telefont, hat egyik se bugmentes cyanogenmod-dal. Mindegyiknek van valami nyugje (forumot olvasva).

Es akkor megint eljutottunk oda, hogy "hardvert venni tudni kell" :)))

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Elárulok neked egy titkot: minden telefonnak több nyűgje is van. Hogy neked nem felel meg semmi, az nekem nem új, állandóan fikázol mindent. Nem is értem, hogy hogyan tudsz valamit jelenleg is használni.

Te a fórumot olvasva arra a következtetésre jutottál, hogy a OnePlus One is szar. Nincs ezzel semmi baj, mert nem vagy egyedül. Viszont veletek szemben van x millió, aki szerint teljesen használható.

Ugyanígy, több millió felhasználója van a CyanogenMod-nak is random telefonokkal.

Szóval, hogy mit olvastál a fórumokban, az számomra nem releváns.

--
trey @ gépház

Értelmezd is amit olvasol. A négyéves xperiám-ra van LegacyXperia (unofficial cyanogenmod), szépen karbantartva, kb. heti frissítéssel.

Ha benézel a fórumra, láthatod, hogy:
nincs 720p videófelvétel (lehet, h már van, régen nem volt)
nincs ANT+
nincs rádió

Egy négyéves telefonnál ezeket pont leszarom. A lényeg, hogy ezzel a rommal legalább működik a böngésző, endomondo, és még telefonálni is tudok (stock romnál ez sem mindig sikerült...)

Egyetértek trey-jel, pont a napokban fogalmaztam meg, a következő telefonom olyan lesz, amit a CM project is támogat.

Egy teljesen láma kérdés. Van-e arra lehetőség, csak egy pici, szinte csak gondolatjáték szintjén, hogy ez a sebezhetőség tulajdonképpen a Google tudatosan beépített cucca, csak most mások által napvilágra került?
--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

Gőzöm sincs, de azért még is csak érdekes, hogy gyakorlatilag egy öt éves bugról van szó. Legyünk jóhiszeműek, valamiért náluk nem bukott ki az egész. És mi van a kismillió telefongyártóval, akik ilyen-olyan módon módosított androiddal szállítják az eszközeiket? Nekik sem tűnt fel? Itt elméletileg nem egy zártforrású rendszerről van szó, hanem egy olyan cuccról, amit évek óta baszkurálnak a gyártóktól kezdve ROM mágusokig mindenki.
--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

A telefongyártók hozzáértéséről szerintem sokat elmond az a sw, amit szállítanak.
És valszeg azért nem tűnt fel senkinek, mert nem piszkálták. Ott volt működött, ennyi. Amúgy elég mélyen van a cucc az ábrát elnézve, szóval szerintem aki ide leás annak egyrészt oka kell hogy legyen erre, másrészt pedig értenie is kell hozzá.
Amúgy a szintén nyílt forrású Linux kernelben is találtak már 8 éves sebezhetőséget, ugyanezen link szerint a windows-ban pedig 17 éveset, ami win 3.1-től win7-ig mindenben benne volt. A heartbleed is 2 évig volt az openssl-ben mire kibukott, pedig az egy biztonsági sw elvileg.

Szerintem szinte minden nagyobb sw tartalmaz ilyen sokéves sebezhetőséget, az android pedig még a nagyok között is nagynak számít.

"Gőzöm sincs, de azért még is csak érdekes, hogy gyakorlatilag egy öt éves bugról van szó."

Annak fényében, hogy a "security mindenek felett" OpenBSD-ben, ahol elég sokat túrják a kódot, több ízben is javítottak 10-30+ éves bugot, ez annyira nem meglepő.

--
trey @ gépház

"Then so many different actors are contributing to the development of the open source operating system, there are inevitably just as many opportunities to overlook things. "

Ez azert nem semmi kovetkeztetes:) A many eyeballs:)

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Azt tudtam eddig is, hogy az Android egy szar, de most végre mindenki számára egyértelmű lett. Nem maga a szoftver, hanem az ökoszisztéma.