Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Noul exploit Stagefright pentru Android cunoscut drept Metaphor

2016-04-07

Cercetătorii din Israel au găsit un nou mod de a exploata vulnerabilitatea Stagefright descoperită anul trecut, ceea ce afectează această librărie pe care Android-ul o utilizează pentru a analiza fișiere multimedia.

Pentru a recapitula, infractorii cibernetici pot executa coduri malițioase prin intermediul unui site dăunător sau compromis sau printr-un MMS special creat, pentru a fura informații. Există, totuși, un   utilitar gratuit destinat utilizatorilor pentru a se putea proteja.

Dar asta nu e tot. Un document recent realizat de Hanan Be’er, cercetător la NorthBit, a descoperit un exploit, cunoscut sub numele “Metaphor” poate merge chiar mai departe, pentru a profita de vulnerabilitatea Stagefright. El sugerează că milioane de dispozitive Android sunt vulnerabile în fața acestui exploit, care evită mecanismele lor de apărare. Această amenințare operează pe dispozitivele cu sistem Android între 2.2-4.0 și 5.0-5.1. Mai mult, în ultimele versiuni, se poate sustrage de la ASLR. Aceasta este o “randomizare address space layout”, utilizată pentru a împiedica funcționarea corespunzătoare a exploit-urilor care previn atacurile de buffer overflow.

După cum este menționat în The Register , procesul este alcătuit din mai multe etape. În primul rând, victima ajunge pe un site malițios care trimite un filmuleț către dispozitiv, care blochează serverul multimedia al sistemului de operare pentru a reseta specificul său intern. Codul JavaScript de pe pagină va aștepta ca serverul media să repornească, trimițând apoi, prin internet, informații legate de dispozitiv către serverul privat al atacatorului.

Acest server creează apoi un fișier video personalizat, care este trimis la dispozitiv și care exploatează Stagefright pentru a dezvălui mai multe informații legate de starea internă a dispozitivului. Odată procesat de Stagefright, videoclipul creat de atacator începe executarea unei încărcături software care aduce după sine toate privilegiile de care are nevoie pentru a spiona utilizatorul.

Exploit-ul atacă bug-ul CVE-2015-3864, chiar și fără ca utilizatorul să fie nevoit să dea drumul la videoclip. Acesta începe să lucreze atunci când browser-ul web face căutări și analizează fișierul.Stagefright este player-ul media original pentru dispozitivele Android.

“Exploit-ul nostru lucrează cel mai bine pe dispozitivele Nexus 5. A fost, de asemenea, testat pe dispozitive precum HTC One, LG G3 și Samsung S5, deși exploit-ul a fost puțin diferit pe aceste branduri. Va trebui să facem câteva ajustări”, se concluzionează în analiză.

În orice caz, ceea ce trebuie să ne amintim este faptul că aceste exploit-uri generate în medii de testare se prezintă adesea drept probleme critice, dar observăm ulterior că domeniul de aplicare este limitat la scenarii foarte specifice. Acest atac presupune, de asemenea, executarea a unui cod JavaScript peste un browser web. După cum au descoperit cercetătorii, acest tip de cod are un număr de limitări.

Acest lucru arată că nu sunt motive de îngrijorare severă. Utilizatorii trebuie doar să fie la curent cu noutățile și să descarce patch-uri atunci când sunt lansate de furnizor.

 

SABRINA PAGNOTTA

CORESPONDENT INDEPENDENT



Leave a Reply

Your email address will not be published. Required fields are marked *