目录:
- 什么是Stagefright?
- 8月17日至18日:漏洞依然存在?
- 新的Stagefright详细信息截至8月5日
- 谁发现了这个漏洞?
- 这个漏洞有多广泛?
- 那么我应该担心Stagefright吗?
- 如何更新修复Stagefright?
2015年7月,安全公司Zimperium宣布它已经在Android操作系统内发现了一个漏洞的“独角兽”。 8月初在BlackHat会议上公开披露了更多细节 - 但是在头条新闻宣布将有近10亿台Android设备未被用户了解的情况下可能被接管之前就已公开。
什么是“Stagefright”? 你需要担心吗?
随着更多信息的发布,我们不断更新这篇文章。 这就是我们所知道的,以及您需要了解的内容。
什么是Stagefright?
“Stagefright”是一个潜在漏洞的昵称,该漏洞深入Android操作系统本身。 要点是通过MMS(文本消息)发送的视频理论上可以通过 libStageFright 机制(因此“Stagefright”名称)用作攻击途径,这有助于Android处理视频文件。 许多短信应用程序 - 特别提到Google的环聊应用程序 - 会自动处理该视频,因此只要您打开邮件就可以立即查看,因此理论上攻击可能会在您不知情的情况下发生。
因为 libStageFright 可以追溯到Android 2.2,所以数以亿计的手机都包含这个有缺陷的库。
8月17日至18日:漏洞依然存在?
正如谷歌开始推出其Nexus系列的更新一样,Exodus公司发布了一篇博客文章,讽刺地说至少有一个漏洞仍未修补,暗示谷歌搞砸了代码。 英国出版物 The Register 以一篇精美的文章引用了Rapid7的一位工程师的话说,下一个修复将在9月的安全更新中出现 - 这是新的月度安全修补过程的一部分。
谷歌尚未公开解决这一最新声明。
在没有任何进一步详细信息的情况下,我们倾向于认为更糟糕的是我们回到了我们开始的地方 - libStageFight存在缺陷,但是还有其他安全层可以减少设备的可能性实际上被剥削了。
8月18日,趋势科技发布了一篇关于libStageFright另一个漏洞的博客文章。 它表示没有证据表明这种漏洞实际被使用,并且谷歌于8月1日向Android开源项目发布了该补丁。
新的Stagefright详细信息截至8月5日
与拉斯维加斯举行的BlackHat会议一起 - 公开披露了Stagefright漏洞的更多细节 - 谷歌特别针对这一情况,Android安全首席工程师Adrian Ludwig告诉NPR“目前,90%的Android设备都有技术称为ASLR已启用,可以保护用户免受此问题的影响。“
这与我们都读过的“9亿Android设备易受攻击”这一行非常不一致。 虽然我们不打算在这些数字之间发生言论和嘲讽,但Ludwig所说的是运行Android 4.0或更高版本的设备 - 大约95%的所有使用Google服务的有源设备 - 都可以防范内置缓冲区溢出攻击。
ASLR( 一种地址S步长L和 Rom andomization)是一种方法,通过随机排列进程的内存地址空间,使攻击者无法可靠地找到他或她想要尝试和利用的功能。 自2005年6月以来,ASLR已在默认的Linux内核中启用,并在版本4.0(Ice Cream Sandwich)中添加到Android中。
满口怎么样?
这意味着每次运行的程序或服务的关键区域都不会放在RAM中的相同位置。 随意将内容放入内存意味着任何攻击者都必须猜测在哪里查找他们想要利用的数据。
这不是一个完美的解决方案,虽然一般的保护机制是好的,但我们仍然需要针对已知漏洞利用直接补丁。 谷歌,三星(1),(2)和阿尔卡特已宣布对stagefright进行直接补丁,索尼,HTC和LG表示他们将在8月发布更新补丁。
谁发现了这个漏洞?
该漏洞由移动安全公司Zimperium于7月21日宣布,作为其在BlackHat会议上宣布其年度派对的一部分。 是的,你没有看错。 正如Zimperium所说的那样,“所有Android漏洞的母亲”于7月21日宣布(显然是在任何人决定关心的前一周),而且只是说了几句“8月6日晚上,Zimperium将会更大的重磅炸弹”摇滚拉斯维加斯派对场景!“ 你知道它会变得更加狂暴,因为它是“我们最喜爱的忍者的年度拉斯维加斯派对”,完全带有摇滚乐的标签和一切。
这个漏洞有多广泛?
同样, libStageFright 库本身存在缺陷的设备数量非常庞大,因为它本身就属于操作系统。 但正如Google多次指出的那样,还有其他方法可以保护您的设备。 将其视为层中的安全性。
那么我应该担心Stagefright吗?
好消息是,在Stagefright中发现这个漏洞的研究人员“不相信野外的黑客正在利用它。” 因此,显然没有人真正使用任何人,这是一件非常糟糕的事情,至少根据这个人的说法。 而且,谷歌表示,如果您使用的是Android 4.0或更高版本,那么您可能会没问题。
这并不意味着它不是一个糟糕的潜在漏洞。 它是。 它进一步凸显了通过制造商和运营商生态系统推出更新的难度。 另一方面,它是一种潜在的利用途径,显然自Android 2.2以来一直存在 - 或者基本上是过去五年。 根据你的观点,这要么让你成为定时炸弹,要么是良性囊肿。
谷歌在7月份向 Android Central 重申,有多种机制可以保护用户。
我们感谢Joshua Drake的贡献。 Android用户的安全性对我们非常重要,因此我们快速响应,并且已经向可以应用于任何设备的合作伙伴提供了补丁。
大多数Android设备(包括所有较新的设备)都有多种技术,旨在使开发更加困难。 Android设备还包括一个应用程序沙箱,旨在保护设备上的用户数据和其他应用程序。
如何更新修复Stagefright?
我们需要系统更新来真正修补此问题。 在其8月12日公告中的新“安全安全组”中,谷歌发布了一份“Nexus安全公告”,详细介绍了其最终结果。 有关多个CVE(常见漏洞和暴露)的详细信息,包括通知合作伙伴的时间(早在4月10日,一个),哪些Android特色修补程序(Android 5.1.1,构建LMY48I)和任何其他缓解因素(上述ASLR存储器方案)。
谷歌还表示已更新其环聊和Messenger应用程序,以便他们不会在后台自动处理视频消息,“这样媒体就不会自动传递给mediaserver进程。”
坏消息是,大多数人都在等待制造商和运营商推出系统更新。 但是,再一次 - 虽然我们正在谈论类似于9亿部弱势手机的事情,但我们也谈论 零 已知的剥削案例。 这些都是相当不错的赔率。
HTC表示,此处的更新将包含修复程序。 CyanogenMod现在也加入了它们。
摩托罗拉表示,它所有的当代手机 - 从Moto E到最新的Moto X(以及介于两者之间的所有产品)都将进行修补,这些代码将从8月10日起发送给运营商。
8月5日,谷歌发布了针对Nexus 4,Nexus 5,Nexus 6,Nexus 7,Nexus 9和Nexus 10的新系统映像。谷歌还宣布将发布针对Nexus系列的Nexus系列的月度安全更新。 (第二个公开发布的M预览版本似乎已经打补丁了。)
虽然他没有透过名字命名Stagefright漏洞,但谷歌早前在Google+上的Adrian Ludwig已经解决了漏洞和安全问题,再次提醒我们保护用户的多个层面。 他写:
有一种常见的错误假设,即任何软件错误都可以转化为安全漏洞。 事实上,大多数错误都无法被利用,Android已经采取了许多措施来改善这些可能性。 过去4年我们花了大量资金专注于一种类型的错误 - 内存破坏错误 - 并试图使这些错误更难以利用。