Android 'stagefright' exploit: o que você precisa saber

Em julho de 2015, a empresa de segurança Zimperium anunciou que havia descoberto um "unicórnio" de uma vulnerabilidade dentro do sistema operacional Android. Mais detalhes foram divulgados publicamente na conferência BlackHat no início de agosto - mas não antes das manchetes que declaravam que quase um bilhão de dispositivos Android poderiam ser assumidos sem que seus usuários sequer soubessem.

Então, o que é "Stagefright"? E você precisa se preocupar com isso?

Estamos atualizando continuamente esta postagem à medida que mais informações são divulgadas. Aqui está o que sabemos e o que você precisa saber.

O que é o Stagefright?

"Stagefright" é o apelido dado a uma exploração em potencial que vive bem dentro do próprio sistema operacional Android. O essencial é que um vídeo enviado via MMS (mensagem de texto) poderia ser teoricamente usado como uma avenida de ataque através do mecanismo libStageFright (portanto, o nome "Stagefright"), que ajuda o Android a processar arquivos de vídeo. Muitos aplicativos de mensagens de texto - o aplicativo Hangouts do Google foi mencionado especificamente - processam automaticamente esse vídeo para que fique pronto para visualização assim que você abrir a mensagem e, portanto, teoricamente o ataque poderia ocorrer sem que você soubesse.

Como o libStageFright remonta ao Android 2.2, centenas de milhões de telefones contêm essa biblioteca defeituosa.

17-18 de agosto: as explorações permanecem?

Assim que o Google começou a lançar atualizações para sua linha Nexus, a empresa Exodus publicou um post de blog dizendo maliciosamente que pelo menos uma exploração permanecia sem patch, o que implicava que o Google estragou o código. A publicação britânica The Register, em um artigo mal escrito, cita um engenheiro da Rapid7 dizendo que a próxima correção virá na atualização de segurança de setembro - parte do novo processo mensal de correção de segurança.

O Google, por sua vez, ainda não abordou publicamente esta última reivindicação.

Na ausência de mais detalhes sobre este, estamos inclinados a acreditar que, na pior das hipóteses, estamos de volta onde começamos - que existem falhas no libStageFight, mas que existem outras camadas de segurança que devem atenuar a possibilidade de dispositivos realmente sendo explorado.

Em 18 de agosto. A Trend Micro publicou uma postagem no blog sobre outra falha no libStageFright. Ele disse que não havia evidências de que essa exploração estivesse realmente sendo usada e que o Google publicou o patch no Android Open Source Project em 1º de agosto.

Novos detalhes do Stagefright a partir de 5 de agosto

Em conjunto com a conferência BlackHat em Las Vegas - na qual mais detalhes da vulnerabilidade Stagefright foram divulgados publicamente - o Google abordou a situação especificamente, com o engenheiro chefe de segurança do Android Adrian Ludwig dizendo à NPR que "atualmente, 90% dos dispositivos Android têm uma tecnologia chamado ASLR ativado, que protege os usuários do problema ".

Isso está muito em desacordo com a linha "900 milhões de dispositivos Android são vulneráveis" que todos lemos. Enquanto não vamos entrar no meio de uma guerra de palavras e pedantismo por causa dos números, o que Ludwig estava dizendo é que dispositivos com Android 4.0 ou superior - ou seja, cerca de 95% de todos os dispositivos ativos com serviços do Google - têm proteção contra um ataque de estouro de buffer incorporado.

O ASLR é um método que impede um invasor de encontrar com segurança a função que ele ou ela deseja tentar explorar, através da disposição aleatória dos espaços de endereço de memória de um processo. O ASLR foi ativado no kernel padrão do Linux desde junho de 2005 e foi adicionado ao Android com a versão 4.0 (Ice Cream Sandwich).

Como é isso para um bocado?

O que isso significa é que as principais áreas de um programa ou serviço em execução não são colocadas no mesmo local na RAM todas as vezes. Colocar as coisas na memória aleatoriamente significa que qualquer invasor precisa adivinhar onde procurar os dados que deseja explorar.

Essa não é uma solução perfeita e, embora um mecanismo de proteção geral seja bom, ainda precisamos de correções diretas contra explorações conhecidas quando elas surgirem. Google, Samsung (1), (2) e Alcatel anunciaram um patch direto para stagefright, e Sony, HTC e LG dizem que lançarão os patches de atualização em agosto.

Quem encontrou essa façanha?

A exploração foi anunciada em 21 de julho pela empresa de segurança móvel Zimperium como parte de um anúncio para sua festa anual na conferência BlackHat. Sim, você leu certo. Essa "Mãe de todas as vulnerabilidades do Android", como diz o Zimperium, foi anunciada em 21 de julho (uma semana antes que alguém decidisse se importar, aparentemente), e apenas algumas palavras a bomba ainda maior de "Na noite de 6 de agosto, o Zimperium irá agite a cena da festa em Las Vegas! " E você sabe que será uma loucura porque é "a nossa festa anual de Vegas para os nossos ninjas favoritos", completamente com uma hashtag de rock e tudo mais.

Quão difundida é essa façanha?

Novamente, o número de dispositivos com falha na própria biblioteca libStageFright é bastante grande, porque está no próprio sistema operacional. Porém, conforme observado pelo Google várias vezes, existem outros métodos que devem proteger seu dispositivo. Pense nisso como segurança em camadas.

Então, devo me preocupar com o Stagefright ou não?

A boa notícia é que o pesquisador que descobriu essa falha no Stagefright "não acredita que os hackers em estado selvagem a estejam explorando". Portanto, é uma coisa muito ruim que aparentemente ninguém está usando contra ninguém, pelo menos de acordo com essa pessoa. E, novamente, o Google diz que se você estiver usando o Android 4.0 ou superior, provavelmente ficará bem.

Isso não significa que não é uma exploração potencial ruim. Isto é. Além disso, destaca as dificuldades de obter atualizações enviadas pelo ecossistema de fabricantes e operadoras. Por outro lado, é uma avenida potencial de exploração que aparentemente existe desde o Android 2.2 - ou basicamente nos últimos cinco anos. Isso faz de você uma bomba-relógio ou um cisto benigno, dependendo do seu ponto de vista.

Por sua vez, em julho, o Google reiterou à Central do Android que existem vários mecanismos para proteger os usuários.

Agradecemos a Joshua Drake por suas contribuições. A segurança dos usuários do Android é extremamente importante para nós, por isso respondemos rapidamente e os patches já foram fornecidos aos parceiros que podem ser aplicados a qualquer dispositivo.

A maioria dos dispositivos Android, incluindo todos os dispositivos mais novos, possui várias tecnologias projetadas para dificultar a exploração. Os dispositivos Android também incluem uma caixa de proteção de aplicativos projetada para proteger os dados do usuário e outros aplicativos no dispositivo.

E as atualizações para corrigir o Stagefright?

Vamos precisar de atualizações do sistema para realmente corrigir isso. Em seu novo "Android Security Group" em um boletim de 12 de agosto, o Google lançou um "boletim de segurança Nexus" detalhando as coisas desde o final. Há detalhes sobre várias CVEs (Vulnerabilidades e exposições comuns), incluindo quando os parceiros foram notificados (em 10 de abril, por exemplo), que compilam as correções em destaque do Android (Android 5.1.1, compilam LMY48I) e quaisquer outros fatores atenuantes (esquema de memória ASLR acima mencionado).

O Google também disse que atualizou seus aplicativos Hangouts e Messenger para que eles não processem automaticamente mensagens de vídeo em segundo plano "para que a mídia não seja automaticamente transmitida ao processo do servidor de mídia".

A má notícia é que a maioria das pessoas está fazendo para esperar que os fabricantes e operadoras enviem atualizações do sistema. Mas, novamente - enquanto conversamos cerca de 900 milhões de telefones vulneráveis ​​por aí, também falamos zero casos conhecidos de exploração. Essas são boas chances.

A HTC afirmou que as atualizações daqui em diante conterão a correção. E o CyanogenMod também está incorporando-os agora.

A Motorola diz que todos os seus telefones da geração atual - do Moto E ao mais novo Moto X (e tudo mais) serão corrigidos, cujo código será enviado às operadoras a partir de 10 de agosto.

Em 5 de agosto, o Google lançou novas imagens de sistema para o Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 e Nexus 10. O Google também anunciou que lançará atualizações de segurança mensais para a linha Nexus da linha Nexus. (A segunda versão do M Preview lançada publicamente parece já ter sido corrigida também.)

E embora ele não tenha nomeado a exploração do Stagefright por nome, Adrian Ludwig, do Google, no Google+, já havia abordado explorações e segurança em geral, lembrando novamente as várias camadas que protegem os usuários. Ele escreve:

Há uma suposição comum e equivocada de que qualquer bug de software pode ser transformado em uma exploração de segurança. De fato, a maioria dos bugs não é explorável e há muitas coisas que o Android fez para melhorar essas chances. Passamos os últimos 4 anos investindo pesadamente em tecnologias focadas em um tipo de erro - erros de corrupção de memória - e tentando tornar esses erros mais difíceis de explorar.