Stagefright
Stagefright (בעברית: "פחד במה") הוא שם כולל לקבוצת באגים שמשפיעים על מערכת ההפעלה אנדרואיד מגרסה 2.2 ואילך, ומאפשרים לתוקפים לבצע פעולות שרירותיות על מכשיריהם של קרבנות בעזרת הרצת קוד מרחוק והסלמת הרשאות.[1] חוקרי אבטחת מידע הדגימו את קיומם של הבאגים בעזרת הוכחת התכנות ששולחת הודעות MMS שהוכנו מראש למכשיר הקרבן, וברוב המקרים לא דורשת ביצוע פעולה מסוימת מצד משתמש הקצה מרגע שההודעה התקבלה. המידע היחיד שהחוקרים ידעו על היעד הנתקף לצורך ההדגמה הוא את מספר הטלפון שלו.[2][3][4][5]
שיטת ההתקפה המרכזית מנצלת חולשות מסוג גלישה נומרית ברכיב ליבה של אנדרואיד שמכונה "Stagefright"[6][7] (או בקוד המקור: libstagefright), ספרייה מורכבת הממומשת בעיקר ב־C++ המהווה חלק מפרויקט הקוד הפתוח של אנדרואיד, ומשומשת על ידי מערכת ההפעלה כמנוע לניגון קובצי מולטימדיה כמו קובצי MP4.[5][8]
לבאגים שנתגלו ניתנו מספר מזהי CVE: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829 ו־CVE-2015-3864 (האחרון הוקצה בנפרד מהאחרים), כאשר נפוץ להתייחס לכולם כקבוצה תחת השם "באג Stagefright".[9][10][11]
היסטוריה
באג ה־Stagefright נמצא על ידי יהושע דרייק (Joshua Drake) מחברת האבטחה Zimperium, והתפרסם לציבור בפעם הראשונה ב־27 ביולי 2015. לפני ההכרזה, דרייק דיווח על הבאג לגוגל באפריל 2015, וזו האחרונה שחררה כעבור יומיים טלאי תוכנה שהופץ במאגר הקוד הפנימי של החברה.[2][3][4][5] ביולי 2015, יבגני לגרוב, חוקר אבטחה ממסוקבה, הכריז שהוא מצא לפחות שתי מתקפות אפס ימים דומות הקשורות בגלישת ערימה בקוד של ספריית Stagefright. לגורוב אישר שהפרצות שמצא הפכו להיות בלתי אפשריות לניצול על ידי החלת טלאי התוכנה שדרייק שלח לגוגל.[1][12]
הגילוי הנאות הפומבי של באג ה־Stagefright התבצע ב־5 באוגוסט 2015, בכנס Black Hat שבארצות הברית[13] וכן ב־7 באוגוסט 2015, בכנס DEF CON ה־23.[14][5] לאחר הגילוי ב־5 באוגוסט, Zimperium פרסמה לציבור את קוד המקור של הוכחת ההתכנות לניצול, טלאים לתיקון ספריית Stagefright (למרות שאלו כבר שוחררו במאי 2015 במסגרת פרויקט הקוד הפתוח של אנדרואיד ומאגרי קוד פתוח אחרים[15][16]), ויישומון אנדרואיד שנקראת "מזהה Stagefright" שבוחן האם המכשיר פגיע לבאג ה־Stagefright.[10][17]
ב־13 באוגוסט 2015, פגיעות נוספת הקשורה ב־Stagefright פורסמה על ידי Exodus Intelligence.[11] פגיעות זו לא תוקנה על ידי הטלאים שפורסמו לפירצות שהיו ידועות עד כה. הצוות של CyanogenMod פרסם הודעה שטלאים שמטרתם סגירת חולשה זו ישולבו בקוד המקור של CyanogenMod 12.1 ב־13 באוגוסט 2015.[18]
ב־1 באוקטובר 2015 Zimperium שחררה פרטים על פגיעויות נוספות, הידועים בשמם גם כ־Stagefright 2.0. פגיעויות אלו נגרמות על ידי קובצי MP3 ו־MP4 שהוכנו במיוחד לצורך המתקפה, ומריצים קוד זדוני כאשר מנגנים אותם באמצעות שרת המדיה של אנדרואיד. חולשה זו נמצאה בספרייה מרכזית באנדרואיד בשם libutils, רכיב של אנדרואיד שקיים מאז שאנדרואיד שוחרר. גרסאות האנדרואיד 1.5 עד אנדרואיד 5.1 פגיעות לחולשה זו, ומספר המכשירים הפגיעים מוערך בכמיליארד.[19]
השלכות
בעוד שגוגל מתחזקת את בסיס הקוד העיקרי של אנדרואיד, עדכוני קושחה למכשירי אנדרואיד שונים הם באחריות ספקיות הסלולר ויצרני הציוד המקוריים. כתוצאה מכך, הפצת טלאים בפועל למכשירים לעיתים קרובות מתבצעת אחרי זמן רב. ההליך מושפע בין היתר מההפרדה המורגשת בין היצרנים, גרסאות המכשיר, גרסאות מערכת ההפעלה והתאמות שונות שנעשות למערכת ההפעלה על ידי היצרניות.[20][21] מכשירים ישנים או זולים צפויים שלא לקבל טלאי עדכון לקושחה בכלל.[22] מכשירים רבים שאינם נכללים בהליך הפצת הטלאים יצטרכו להפרץ על ידי בעלי המכשירים עצמם, הליך שמפר את התנאים של חוזים רבים ספקיות הסלולר. מסיבות אלו, טבעו של Stagefright מדגיש את הקשיים הטכניים והארגוניים המזוהים עם הפצת טלאים לאנדרואיד.[3][23]
על מנת לטפל בעיכובים ובבעיות הקשורות בהפצת טלאים לאנדרואיד, ב־1 באוגוסט 2015 יצרה Zimperium התאגדות בשם Zimperium Handset Alliance, שמטרתה לאפשר לגורמים שונים להחליף מידע ולקבל עדכונים בזמן אמת על בעיות אבטחה הקשורות באנדרואיד. חברים בהתאגדות קיבלו גם את הקוד של הוכחת היתכנות עוד לפני שהוא פורסם לציבור. נכון לתאריך ה־6 באוגוסט 2015, 25 מיצרניות הציוד ומספקיות הסלולר המובילות כבר הצטרפו להתאגדות.[10][15][24]
ראו גם
- דיוג – ניסיון להשיג מידע רגיש על ידי התחזות לישות אמינה בתקשורת אלקטרונית.
הערות שוליים
- ^ 1.0 1.1 "How to Protect from StageFright Vulnerability". zimperium.com. 2015-07-30. נבדק ב-2015-07-31.
- ^ 2.0 2.1 Michael Rundle (2015-07-27). "'Stagefright' Android bug is the 'worst ever discovered'". Wired. נבדק ב-2015-07-28.
- ^ 3.0 3.1 3.2 Steven J. Vaughan-Nichols (2015-07-27). "Stagefright: Just how scary is it for Android users?". ZDNet. נבדק ב-2015-07-28.
- ^ 4.0 4.1 Alex Hern (2015-07-28). "Stagefright: new Android vulnerability dubbed 'heartbleed for mobile'". The Guardian. נבדק ב-2015-07-29.
- ^ 5.0 5.1 5.2 5.3 "Experts Found a Unicorn in the Heart of Android". zimperium.com. 2015-07-27. נבדק ב-2015-07-28.
- ^ Garret Wassermann (2015-07-29). "Vulnerability Note VU#924951 Android Stagefright contains multiple vulnerabilities". CERT. נבדק ב-2015-07-31.
- ^ "Android Interfaces: Media". source.android.com. 2015-05-08. נבדק ב-2015-07-28.
- ^ Mohit Kumar (2015-07-27). "Simple Text Message to Hack Any Android Phone Remotely". thehackernews.com. נבדק ב-2015-07-28.
- ^ Robert Hackett (2015-07-28). "Stagefright: Everything you need to know about Google's Android megabug". Fortune. נבדק ב-2015-07-29.
- ^ 10.0 10.1 10.2 "Stagefright: Vulnerability Details, Stagefright Detector tool released". zimperium.com. 2015-08-05. נבדק ב-2015-08-25.
- ^ 11.0 11.1 Jordan Gruskovnjak; Aaron Portnoy (2015-08-13). "Stagefright: Mission Accomplished?". exodusintel.com. נבדק ב-2015-10-08.
- ^ Thomas Fox-Brewster (2015-07-30). "Russian 'Zero Day' Hunter Has Android Stagefright Bugs Primed For One-Text Hacks". Forbes. נבדק ב-2015-07-31.
- ^ "Stagefright: Scary Code in the Heart of Android". blackhat.com. 2015-08-21. נבדק ב-2015-08-25.
- ^ "Stagefright: Scary Code in the Heart of Android". defcon.org. 2015-08-07. נבדק ב-2015-08-25.
- ^ 15.0 15.1 "ZHA Accelerating Roll-out of Security Patches". zimperium.com. 2015-08-01. נבדק ב-2015-08-25.
- ^ Joshua J. Drake (2015-05-05). "Change Ie93b3038: Prevent reading past the end of the buffer in 3GPP". android-review.googlesource.com. נבדק ב-2015-08-25.
- ^ Eric Ravenscraft (2015-08-07). "Stagefright Detector Detects if Your Phone Is Vulnerable to Stagefright". lifehacker.com. נבדק ב-2015-08-25.
- ^ "More Stagefright". www.cyanogenmod.org. 2015-08-13. נבדק ב-2015-08-15.
- ^ "Stagefright 2.0 Vulnerabilities Affect 1 Billion Android Devices". www.threatpost.com. 2015-10-01. נבדק ב-2015-10-01.
- ^ Jamie Lendino (2015-07-27). "950M phones at risk for 'Stagefright' text exploit thanks to Android fragmentation". extremetech.com. נבדק ב-2015-07-31.
- ^ Jordan Minor (2015-07-30). "There's (Almost) Nothing You Can Do About Stagefright". PC Magazine. נבדק ב-2015-07-31.
- ^ Cooper Quintin (2015-07-31). "StageFright: Android's Heart of Darkness". Electronic Frontier Foundation. נבדק ב-2015-08-02.
- ^ Phil Nickinson (2015-07-27). "The 'Stagefright' exploit: What you need to know". Android Central. נבדק ב-2015-07-29.
- ^ Lucian Armasu (2015-08-06). "Zimperium Releases Stagefright Vulnerability Detector". Tom's Hardware. נבדק ב-2015-08-25.