Stagefright
Stagefright és un error de programari explotable de manera remota que afecta les versions del sistema operatiu Android a partir de la 2.2 ("Froyo"), i permet a un atacant fer operacions arbitràries al dispositiu víctima a través de l'execució remota de codi i una escalada de privilegis.[1] Els investigadors de seguretat informàtica demostren l'error de programari amb una prova de concepte que envia missatges MMS dissenyats de manera especial al dispositiu víctima i en la majoria dels casos no requereix cap acció de l'usuari consumidor per tenir èxit a la recepció del missatge, utilitzant el número de telèfon com a única informació de l'objectiu.[2][3][4][5]
El vector d'atac subjacent explota certes vulnerabilitats de desbordament aritmètic al component del nucli d'Android anomenat "Stagefright",[6][7] Internament, la biblioteca és referida com a libstagefright.[8] que és una biblioteca de programari complexa implementada primàriament amb C++ com a part del projecte Android Open Source Project (AOSP) i utilitzada com a motor de rerefons per a reproduir diversos formats multimèdia com MP4.[5][9]
L'error ha sigut identificat amb nombrosos identificadors CVE (CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 i CVE-2015-3829) els quals són referits de manera col·lectiva com a l'error Stagefright.[10][11][12]
Història
[modifica]El descobridor fou Joshua Drake, de l'empresa de seguretat Zimperium, i fou anunciada públicament el 27 de juliol de 2015. Abans de l'anunci, Drake informà de l'error a Google l'abril del 2015, el qual incorporà una reparació relacionada als seus repositoris de codi font interns dos dies després de l'informe.[2][3][4][5] En juliol de 2015, Evgeny Legerov, un investigador de seguretat moscovita, anuncià que havia trobat com a mínim dues vulnerabilitats semblants de desbordament de monticle a la biblioteca Stagefright, afirmant al mateix temps que la biblioteca ja s'havia estat explotant durant un cert temps. Legerov també confirmà que les vulnerabilitats que havia descobert es resolien en aplicar els pedaços que Drake va pujar a Google.[1][13]
La presentació completa de l'error informàtic, presentada per Drake, tingué lloc el 5 d'agost de 2015 a la conferència Black Hat, als Estats Units d'Amèrica,[14] i el 7 d'agost de 2015 a la conferència de hackers[5] DEF CON 23.[15] Després de la presentació, el 5 d'agost de 2015, Zimperium va publicar el codi font d'una prova de concepte d'explotació de la vulnerabilitat, pedaços per a la biblioteca Stagefright (malgrat que els pedaços ja eren públicament disponibles des de principis de maig del 2015 al depòsit del codi d'Android i altres depòsits),[16][17] i una aplicació d'Android anomenada "Stagefright detector" que examina si un aparell amb Android és vulnerable a l'error Stagefirght.[11][18]
El 3 d'agost de 2015, solament uns pocs productes havien rebut els pedaços contra l'error: PrivatOST de Blackphone des de la versió117, els llançaments nocturns de 12.0 i 12.1 de CyanogenMod,[19] la variant del Samsung Galaxy Note 4 de Sprint Corporation,[20] i Mozilla Firefox des de la versió 38[21] (aquest navegador web utilitza internament la biblioteca Stagefright d'Android).[3][4][22]
El 13 d'agost de 2015 una altra vulnerabilitat a la biblioteca Stagefright identificada com a CVE-2015-3864 fou publicada per Exodus Intelligence.[12] Aquesta vulnerabilitat no fou mitigada per reparacions existents dels errors ja coneguts. L'equip de CyanogenMod publicà una notícia on deia que els pedaços per a CVE-2015-3864 han sigut incorporats al codi de CyanogemMod 12.1 el 13 d'agost de 2015.[23]
Referències
[modifica]- ↑ 1,0 1,1 «How to Protect from StageFright Vulnerability», 30-08-2015. [Consulta: 31 agost 2015].
- ↑ 2,0 2,1 Michael Rundle. «'Stagefright' Android bug is the 'worst ever discovered'». Wired, 27-07-2015. [Consulta: 28 juliol 2015].
- ↑ 3,0 3,1 3,2 Steven J. Vaughan-Nichols. «Stagefright: Just how scary is it for Android users?». ZDNet, 27-07-2015. [Consulta: 28 juliol 2015].
- ↑ 4,0 4,1 4,2 Alex Hern. «Stagefright: new Android vulnerability dubbed 'heartbleed for mobile'». The Guardian, 28-07-2015. [Consulta: 29 juliol 2015].
- ↑ 5,0 5,1 5,2 5,3 «Experts Found a Unicorn in the Heart of Android», 27-07-2015. [Consulta: 28 juliol 2015].
- ↑ Garret Wassermann. «Vulnerability Note VU#924951 - Android Stagefright contains multiple vulnerabilities». CERT, 29-07-2015. [Consulta: 31 juliol 2015].
- ↑ «Android Interfaces: Media», 08-05-2015. [Consulta: 28 juliol 2015].
- ↑ «platform/frameworks/av: media/libstagefright», 28-07-2015. [Consulta: 31 juliol 2015].
- ↑ Mohit Kumar. «Simple Text Message to Hack Any Android Phone Remotely», 27-08-2015. [Consulta: 28 agost 2015].
- ↑ Robert Hackett. «Stagefright: Everything you need to know about Google's Android megabug». Fortune, 28-07-2015. [Consulta: 29 juliol 2015].
- ↑ 11,0 11,1 «Stagefright: Vulnerability Details, Stagefright Detector tool released», 05-08-2015. [Consulta: 25 agost 2015].
- ↑ 12,0 12,1 «Stagefright: Mission Accomplished?», 13-08-2015. [Consulta: 15 agost 2015].
- ↑ Thomas Fox-Brewster. «Russian 'Zero Day' Hunter Has Android Stagefright Bugs Primed For One-Text Hacks». Forbes, 30-07-2015. [Consulta: 31 juliol 2015].
- ↑ «Stagefright: Scary Code in the Heart of Android», 21-08-2015. [Consulta: 25 agost 2015].
- ↑ «Stagefright: Scary Code in the Heart of Android», 07-08-2015. [Consulta: 25 agost 2015].
- ↑ «ZHA – Accelerating Roll-out of Security Patches», 01-08-2015. [Consulta: 25 agost 2015].
- ↑ Joshua J. Drake. «Change Ie93b3038: Prevent reading past the end of the buffer in 3GPP», 05-05-2015. [Consulta: 25 agost 2015].
- ↑ Eric Ravenscraft. «Stagefright Detector Detects if Your Phone Is Vulnerable to Stagefright», 07-08-2015. [Consulta: 25 agost 2015].
- ↑ «CyanogenMod: Recent Stagefright issues», 27-07-2015. [Consulta: 28 juliol 2015].[Enllaç no actiu]
- ↑ Ryan Whitwam. «Sprint's Galaxy Note 4 Gets Android 5.1.1 Update With Stagefright Vulnerability Fix», 03-08-2015. [Consulta: 5 agost 2015].
- ↑ «Buffer overflow and out-of-bounds read while parsing MP4 video metadata», 12-05-2015. [Consulta: 28 juliol 2015].
- ↑ Thomas Fox-Brewster. «Stagefright: It Only Takes One Text To Hack 950 Million Android Phones». Forbes, 27-07-2015. [Consulta: 28 juliol 2015].
- ↑ «More Stagefright», 13-08-2015. Arxivat de l'original el 2015-08-13. [Consulta: 15 agost 2015].