Stagefright 2.0, czyli kolejna groźna luka w Androidzie
- 01.10.2015, godz. 16:45
Odkryto nową lukę w Androidzie, która obecna jest we wszystkich wydaniach systemu mobilnego Google łącznie z najnowszą wersją o nazwie kodowej Lollipop. Ta podatność na ataki została nazwana Stagefright 2.0.
W ostatnim miesiącu było bardzo głośno o luce w systemie Android o nazwie Stagefright, która pozwalała przejąć kontrolę nad urządzeniem po wysłaniu do użytkownika spreparowanej wiadomości MMS.
Google i producenci smartfonów z Androidem wprowadzili zmiany w kodzie swojego oprogramowania, aby zabezpieczyć swoich użytkownikiem przed atakami wykorzystującymi Stagefright. Niestety odkryto kolejne zagrożenie.
Zobacz również:
- IDC CIO Summit – potencjał drzemiący w algorytmach
- Jeszcze kurz nie opadł, a Qualcomm już zapowiada nowe CPU
Nowa luka związana jest z przetwarzaniem przez system Android plików multimedialnych. Atakujący mogą uzyskać dostęp do prywatnych danych użytkownika poprzez przekierowanie ich na spreparowaną stronę internetową.
Badacze z Zimperium odkryli już wcześniej lukę w bibliotece Stagefright, którą można wykorzystać wysyłając spreparowanego MMS-a. Wykrycie błędu było implulsem dla Google i producentów takich jak Samsung i LG, by przygotować łatkę.
Błąd pozwalający na wykonanie ataku związany jest ze sposobem przetwarzania przez system operacyjny metadanych plików multimedialnych. Chodzi konkretnie o pliki z muzyką w formacie MP3 i pliki wideo w formacie MP4.
Teraz pojawiło się nowe zagrożenie związane z biblioteką libutils. Podatność określana przez firmę Zimperium jako Stagefright 2.0 dotyka praktycznie wszystkie urządzenia działające pod kontrolą mobilnego systemu Google'a.
Zagrożone są zarówno smartfony i tablety korzystające pierwszego Android wydanego w 2008 roku, jak i urządzenia pracujące pod kontrolą najnowszego Android 5.1.1 Lollipop. Oznacza to, że nawet miliard urządzeń może być podatnych na atak.
Atak przez wiadomość MMS w najnowszej wersji Androida jest już niemożliwy, ale wykorzystując podatności Stagefright i libutils można przejąć kontrolę nad urządzeniem po spreparowaniu linka strony internetowej np. w wiadomości email lub zarażonej reklamie lub podatnym na atak odtwarzaczu multimediów.
Zimperium zgłosiło odkryte błędy do Google 15 sierpnia. Oznaczono je CVE-2015-3876 i CVE-2015-6602. 5 października powinna pojawić się stosowna aktualizacja Androida, a aplikacja Stagefright Detector ma zostać zaktualizowana o moduł wykrywania nowszego zagrożenia.