Metaphor: Androidin vakavaan Stagefright-haavoittuvuuteen uusi hyväksikäyttömenetelmä

Android-laitteita laajamittaisesti koskevaan viime vuoden Stagefright-haavoittuvuuteen on julkaistu toimiva hyväksikäyttömenetelmä, nimeltään Metaphor, joka tietoturvatutkijoiden mukaan mahdollistaa Androidin suojausmekanismien ohittamisen. Haavoittuvat laitteet voidaan ottaa haltuun esimerkiksi haitallisella verkkosivulla vierailun yhteydessä.

Stagefright-haavoittuvuus on lähes kaikissa Android-laitteissa

Loppukesällä 2015 Zimperiumin julkistama Stagefright on joukko haavoittuvuuksia mediatiedostojen käsittelyyn käytetyn Stagefright-kirjaston mediaserver-komponentissa. Haavoittuvuudet mahdollistavat haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä jopa ilman käyttäjän toimia, jos haitallista sisältöä sisältävä mediatiedosto toimitetaan laitteeseen esimerkiksi multimediaviestin, sähköpostin, Bluetoothin tai verkkosivulla vierailun avulla. Haavoittuvuus koskee Android-versioita 2.2 - 5.1.1 (ennen versiota 5.1.1 LMY48M).

Elokuun puolessa välissä Trend Micro löysi uuden Androidin mediaserver-komponentin haavoittuvuuden, joka sai nimen Stagefright 2. Haavoittuvuus koskee Android-versioita 2.3 - 5.1.1 (ennen versiota 5.1.1 LMY48M).

Google julkaisi päivityksen Stagefright-haavoittuvuuksiin melko nopeasti, mutta ongelmaksi muodostui päivitysten jakelun hitaus muiden Android-laitevalmistajien kautta käyttäjille. Lisäksi kaikki valmistajat eivät enää tue vanhimpia haavoittuvia laitteita, eikä osaa sulautetuista järjestelmistä ole suunniteltu helposti päivitettäväksi.

Metaphor ohittaa muistinsuojausmekanismit

Zimperium julkaisi Stagefright-haavoittuvuuden hyödyntämiseen esimerkkihaittakoodia. Käytännössä haavoittuvuuksien hyödyntäminen vaikutti tällöin kuitenkin hankalalta, sillä Android-versiosta 4.1 lähtien käyttöjärjestelmään on lisätty muistin suojausmekanismi, Address Space Layout Randomization (ASLR). Haitallisen ohjelmakoodin ajaminen Stagefright-haavoittuvuuden avulla edellyttää ASLR-suojauksen ohittamista, joka käytännössä edellyttää toisen haavoittuvuuden olemassaoloa puhelimessa.

Juuri julkistettu Metaphor-nimen saanut exploit voi ohittaa myös muistin suojausmekanismi ASLR:n, mikä tekee uhkasta todellisemman. Israelilainen tutkimusyhtiö NorthBit esittää tutkimuksessaan kolmivaiheisen tavan, jolla Android-laite voidaan ottaa haltuun:

  1. Käyttäjä houkutellaan vierailemaan haitallisella verkkosivulla, jonka lähettämä videotiedosto kaataa laitteen mediaserver-sovelluksen. Sivulla oleva JavaScript odottaa mediaserverin uudelleenkäynnistystä ja lähettää tietoa laitteesta hyökkääjän palvelimelle.
  2. Vastaanotetun tiedon perusteella räätälöidään videotiedosto, joka lähetetään laitteelle. Video hyödyntää Stagefright-haavoittuvuuksia paljastaen lisätietoa laitteen sisäisestä tilasta ja lähettää tiedot hyökkääjän palvelimelle.
  3. Vastaanotetun tiedon perusteella luodaan vielä yksi haittaohjelman sisältävä videotiedosto, joka suoritetaan videon prosessoinnin yhteydessä.
Käyttäjän toimia ei tarvita, sillä videotiedostot käsitellään selaimen noutaessa ne palvelimelta.

Haavoittuvuuden hyväksikäyttöä Nexus 5 -laitteella demonstroidaan myös Youtube-videolla. NorthBit kertoo onnistuneista kokeiluista myös LG G3:lla, HTC Onella ja Samsung Galaxy S5:llä.

Päivitys 29.3.2016:

Northbit julkaisi torstaina 24.3.2016 Metaphor hyökkäysmenetelmän lähdekoodit. Julkaistu hyökkäysmenetelmä toimii Nexus 5 koontiversiossa LRX22C Android 5.0.1 käyttöjärjestelmällä. Julkinen hyväksikäyttömenetelmä ei sellaisenaan toimi muissa laitteissa, mutta helpottaa kuitenkin hyväksikäyttömenetelmän edelleenkehitystä myös muille laitteille.

Päivittämättömiä laitteita kannattaa käyttää harkiten

Metaphor toimii Android-versioissa 2.2-4.0, joissa ASLR-suojausta ei ole, sekä ohittaa ASLR-suojauksen versioissa 5.0-5.1.

Koska Stagefright-haavoittuvuudet on julkaistu viime syksynä, useat valmistajat ovat julkaisseet korjaavan päivityksen. Korjauspäivityksen asentaminen ei vaikuta Android-käyttöjärjestelmän versionumeroon. Oman laitteen haavoittuvuuden voi tarkistaa helpoiten Stagefright Detector -työkalulla. Lisätietoa Stagefright-päivityksistä on koottu lisätietolinkkeihin.

Niitä Android-laitteita, joihin korjauspäivitystä ei ole saatavilla, kannattaa käyttää harkiten. Rajoitusmahdollisuutena voi poistaa käytöstä MMS-viestien automaattisen lataamisen ja estää tuntemattomista numeroista tulevat viestit. Tämä ei kuitenkaan poista mahdollisuutta siitä, että haavoittuvuutta hyödynnettäisiin esimerkiksi sähköpostin tai verkkosivujen kautta. Tällä hetkellä ei ole tietoa, auttavatko Android-laitteiden tietoturvaohjelmistot rajoittamaan haavoittuvuuden hyväksikäyttöyrityksiä.

Lisätietoja

Metaphor ja Stagefright


Stagefright-päivitysten saatavuus

Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , NCSC-FI , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248