Stagefright sebezhetőség - ízekre szedve

Titkosítás, biztonság, privát szféra

A hírhedt Stagefright sebezhetőséget szedte ízekre Mark Brand, a Google biztonsági csapatának, a Project Zero-nak tagja. A Google korábban több ízben is közölte, hogy a sebezhetőség kihasználása nem triviális az újabb Android verziókba épített mitigációs technikák, illetve az összeomlás esetén életbe lépő process respawn mechanizmus miatt. A "nem triviális" nem túl konkrét meghatározás. Mark Brand elemzésének köszönhetően most tisztulhat a kép:

The mediaserver process will respawn after a crash, and there is 8 bits of entropy in the libc.so base address. This means that we can take a very straightforward approach to bypassing ASLR. We simply choose one of the 256 possible base addresses for libc.so, and write our exploit and ROP stack assuming that layout. Launching the exploit from the browser, we use javascript to keep refreshing the page, and wait for a callback. Eventually memory will be laid out as we expect, bypassing ASLR with brute force in a practical enough way for real-world exploitation. [...] I did some extended testing on my Nexus 5; and results were pretty much as expected. In 4096 exploit attempts I got 15 successful callbacks; the shortest time-to-successful-exploit was lucky, at around 30 seconds, and the longest was over an hour. Given that the mediaserver process is throttled to launching once every 5 seconds, and the chance of success is 1/256 per attempt, this gives us a ~4% chance of a successful exploit each minute.

A teljes bejegyzés a technikai részletekkel itt olvasható.

( deje | 2015. 09. 18., p – 18:49 )

Azért ez a 4% / min nem olyan alacsony...

Hasonlítsuk össze azzal, amit egyes oldalak harsogtak:

1 milliárd Android eszközt lehet feltörni 1 MMS-sel

Mondjuk azért arra kíváncsi vagyok, hogy ki a bánat bámul egy olyan weboldalt vagy videót akár csak 10 másodpercig, ami a mediaserver-t 5 másodpercenként összeomlasztja. Ez a dolog egy kicsit túl lett tolva.

--
trey @ gépház

Csak azt mondták, "lehet" :). És ez bármikor, bármilyen telefonra igaz, akár ismert sebezhetőségek nélkül is :).

Azért annyiból nem söpörném félre a dolgot, hogy valószínűleg régebbi Android alatt pl. nem volt annyi védelem, és a júzerek nagy része esetében jobban kihasználható egyik-másik hiba.

--

Meg nem, de egy masik sebezhetoseggel kombinalva ki tudja? Az, hogy jelenleg meg nem tudunk rola, nem jelenti, hogy nem kellene azonnal befoltozni.
Ennek ellenere azert ez a vilagvege panik szerintem is kicsit tulzas.
Vegeztek egy kockazat-koltseg analizist es az jott ki a Google reszerol, hogy "meg most" nem eri meg komolyabban foglalkozni vele.

--

"You can hide a semi truck in 300 lines of code"