"Stagefright - At this point we still don’t have any confirmed instances of exploitation in the wild"

 ( trey | 2016. november 2., szerda - 16:10 )

Idézet:
As an example of Android’s misunderstood security, Ludwig used the infamous series of critical bugs known as Stagefright, which were found last year. Ludwig noted that despite the alarm and the potential danger to practically all Android users, they have yet to see a real-life hack on an Android phone done exploiting Stagefright.

“At this point we still don’t have any confirmed instances of exploitation in the wild,” he said.

[ Google Security Engineer Claims Android Is Now As Secure as the iPhone ]

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Az a baj, hogy ennek így sok jelentősége nincs. Csak mert a hiba nem volt komolyabban kihasználva, nem jelenti azt, hogy egyálalán nem volt/nincs. Ha jól értem a dolgokat a SF nem univerzálisan kihasználható hack, célzott támadásokra jobb, az pedig nem biztos, hogy túl nagy nyilvánosságot kapna. De ha nincs is kihasználva, attól még ott a hiba.

Nem azt mondom, hogy az android emiatt szar, nem. Az Android OEM-ek szarok, akik még most sem veszik a fáradtságot hogy naprakészen tartsák az eszközöket minimum a havi security patchekkel. Google tolja, Samsung tolja a high-end eszközein, a többi gyártóról nem tudok, de ahogy láttam az üzletek polcain siralmas a közép-alsó kategória "frissessége".

És sajnos ezen nem segítenek az ilyen "Android is now as secure..." cikkek, mert egyrészt nem igaz, legalábbis abban az értelemben, ahogy a felhasználók értelmezni fogják.

"1 milliárd telefon érintett, mind meghalunk!!!111"

Ehhez képest, 16 hónappal később:

"At this point we still don’t have any confirmed instances of exploitation in the wild"

Ennyi a mondanivaló.

--
trey @ gépház

De mit akarsz ezzel mondani? Nem kellett volna ekkora felhajtást csapni a hírnek? Még így se érte el a kívánt hatását (értsd: Userek biztonságtudatosak legyenek, gyártók rá legyenek kényszerítve a frissítésekre).

A felhajtás nem csak arról szólt, hogy sebezhető volt az összes telefon, hanem arról, hogy mennyire gáz ahogy a gyártók hozzáálnak az android frissítésekhez, és mennyire nem vállalnak felelősséget az értékesítőkkel egyetemben.

Fasza hogy nem használtak ki egy biztonsági hibát (látvánosan). DE kit érdekel ez, amikor a probléma továbbra is adott. Android NÉGYES verzióval még mindig ott sorakoznak a boltok polcain a telefonok/tabletek, és emberek megveszik, és használlják. Hurrá hogy egy biztonsági hiba nem lett kihasználva. Mi a helyzet a többivel, mi a helyzet azokkal, amik mé nem derültek ki?

Ne haragudj, ha félreértelek, de úgy jön le hogy azt akarod ezzel mondani, hogy "kellett itt aggódni, nincs is semmi baj". Az én meglátásom az, hogy igenis van, csak nem az a baj hogy volt ez a bizonyos sebezhetőség, hanem az, hogy az ismerőseim felének olyan telefonja van, amin a mai napig nincs befoltozva.

Nekem az jön le, hogy talán tényleg nincsen semmi baj. Az tény, hogy a hiba létezik, de lehet, hogy az Android egyéb biztonsági funkciói miatt lehetetlen (vagy csak túl nehéz) rosszindulatúan kihasználni. Ez meg eléggé csökkenti a súlyosságát és a hírértékét.

--

RDF detected

(ahol az "R" nem "reality")

Néhány biztonsági funkció miatt nehezebb de nem teljesen kihasználhatatlan. Ha jól olvastam nem univerzálisan kihasználható, de célzott támadásokra így is ugyanúgy lehet használni. Lefogadom, hogy pont ezek a célzott támadások nem nagyon jelennek meg a statisztikákban.

Egyébként is ismét hangsúlyozom, hogy nem a stagefright-ről van szó elsődlegesen hanem arról, hogy ha előjön valami ami tényleg káros, akkor mennyire nulla esélye van a legtöbb android használónak arra hogy megkapja a foltozást.

Ez csak azt jelenti, hogy "némileg" eltúlzott az amit a sajtó csinál, vagyis hogy az van a címlapokon, hogy "x milliárd android user van veszélyben".
Mert a veszély lehet hogy valós, de a számok azt mutatják hogy nem éri meg kihasználni. Mert sokkal egyszerűbb az emberi hülyeséget kihasználni, lásd a néhány tucat default jelszóval próbálkozó IoT botnet és az email-ekben terjedő ransomware-ek.

És ugyanez van a WinXP-vel is, ami 2,5 éve nem támogatott és még mindig 10% körüli az elterjedtsége.

Ezt hívják úgy, hogy overhyped.

--
trey @ gépház

Erről az jut az eszembe, amikor az egyik weboldal üzemeltetőjének jeleztem egy biztonsági problémát (GET paraméter alapján includeolt a kimenetbe bármilyen fájlt a gépről) és erre azt a választ kaptam, hogy több, mint 5 éve működik "biztonságosan" a weboldaluk, sosem tapasztaltak semilyen hibát, biztosan nincs semmi gond és félrenéztem valamit.

http://as.hu/blog/2008/06/28/1316

--
A strange game. The only winning move is not to play. How about a nice game of chess? - Wargames

Hasonló a helyzet a quadrooterrel.
Míg más, valóban exploitálható hibák említve sincsenek, mivel elmaradt mögülük a marketing, így nem kaphatta fel a mindenből szenzációt gyártó médiagépezet.
Az iovy és a dirtycow bizonyítottan kihasználható. Az iovyval jópár brand esetén működő temporary root érhető el. Ehhez a task_cred foltozásán kívül szükséges a selinux permisszívbe állítása is, ami mind adat-terület peccsen keresztül valósul meg. De pl. a samsung esetében ez nem megy, mert az összes új firmware kernel forrásába belekerült egy halom restrikció (config_sec_restrict_* és/vagy config_rkp_* (realtime kernel protection)), amely ezt lehetetlenné teszi. Nem elég adatterületen átírni ezt-azt, magát a kódot kellene foltozni, de az realtime nem lehetséges. A dirtycow-val még siralmasabb a helyzet.
Szval nem olyan rossz a helyzet, mint azt a hírgyártás révén kondicionált tömeg vizionálja. Sőt, véleményem szerint, biztonság terén előrébb tartanak a mobil kernelek, mint a desktop/pc rendszerek linux kernelei.

Szerintem nem volt eltúlozva, valóban nagyon sok eszközt érint a hiba, de a gyakorlati kihasználása valóban nem volt olyan egyszerű: sokáig kellett futnia és azután még az SELinuxot is le kellett győzni. Azóta rengeteget fejlődtek az exploitok, a több perces heap spray időt levitték 20-30mp-re és a dirtycow-al nagyon stabil módon lehet magasabb jogokat szerezni.

De még ha el is volt túlozva és így sikerült rávenni rávenni pár embert, hogy jobban odafigyeljen a telefonja frisseségére/mit telepít fel akkor már megérte.

Szerintem csak azért nem történt nagyobb méretű támadás, mert a PC-t Word makrókkal meg flash bugokkal még mindig egyszerűbb támadni és valószínű több fontos adatot tárolnak az emberek az asztali gépeken, de attól, hogy van egy másik egyszerűbben kihasználható támadási felület még nem lesz kevésbé veszélyes a hiba.