Компания Zimperium, занимающаяся созданием решений в области информационной безопасности, сообщила об обнаружении нескольких серьезных уязвимостей в ОС Android. Бреши в системе безопасности позволяют злоумышленнику с помощью специально сформированного MMS-сообщения получить контроль над микрофоном, динамиком, медиатекой пользователя, а в некоторых случаях — полный доступ к системе с повышенными привилегиями. По предварительным данным уязвимы все версии системы от Android 2.2 Froyo до Android 5.1 Lollipop.
Все уязвимости касаются особого системного фреймворка Stagefright, который в Android отвечает за обработку и управление медиаданными. Какие именно ошибки содержатся в этом компоненте специалисты сообщать не стали, но предупредили, что эксплуатировать уязвимость можно легко — отослав, например, на номер жертвы специально сформированную MMS. В случае, если у жертвы по умолчанию включена автозагрузка этого типа сообщений (а в популярном предустановленном клиенте Hangouts она включена), то злоумышленник может полностью скрыть свои действия, и жертва даже не узнает, что ей приходила вредоносная MMS. Впрочем, даже если приём MMS настроен на ручной режим, то это только несколько усложняет выполнение кода, так как злоумышленнику необходимо добиться подтверждения загрузки. В случае, если файл с вредоносным кодом всё-таки смог добиться обработки в компоненте Stagefright, то злоумышленник получает возможность выполнить произвольный код с привилегиями, которые есть у Stagefright. Обычно у этого компонента права ограничены медиаконтентом, поэтому злоумышленник может получить контроль над медиатекой жертвы, а также над камерой, динамиком и микрофоном. Но в некоторых моделях смартфонов, например, от LG или Samsung, включая распространённую модель Galaxy S4, Stagefright работает с правами суперпользователя, поэтому злоумышленник может сразу получить полный доступ к устройству жертвы. По словам хакера Джошуа Дрейка, который занимался изучением Stagefright, эту уязвимость ему удалось проэксплуатировать и на предпоследнем флагмане от Google — Nexus 5 со всеми доступными обновлениями.
Увеличить рисунок
Господин Дрейк заявил, что он сообщил корпорации Google данные об уязвимости в апреле текущего года, и в течение дня компания признала наличие уязвимости и включила исправление в состав исходных кодов Android. Спустя некоторое время специалист обнаружил ещё несколько похожих уязвимостей в Stagefright и также сообщил о них в компанию, сопроводив их ещё и необходимыми исправлениями, которые также были приняты корпорацией. Руководство отдела обеспечения безопасности Android сообщило о необходимости включения данного исправления партнёрам по Open Handset Alliance, но, судя по Nexus 5, Google пока не удаётся довести необходимое обновление даже до своих устройств. Пресс-службы компаний HTC и Samsung уже подтвердили, что они получили уведомление от Google несколько недель назад, и исправления уже включены в кодовые базы всех будущих обновлений, но не стали уточнять, какие устройства получат их. На данный момент известно, что только смартфон Blackphone от швейцарской компании Silent Circle уже работает с прошивкой, в которой все уязвимости Stagefright устранены. Кроме того, ряд специалистов сообщает, что в тестовых сборках Android M фреймворк также не подвержен обнаруженным дефектам, но крайне маловероятно, что эта версия системы доберется до массового потребителя раньше начала следующего года.
Что касается подробностей о дефектах компонента Stagefright, то они будут раскрыты господином Дрейком 5 и 7 августа на конференциях Black Hat и DEF CON. Пока специалист только сообщил, что по степени серьезности эти уязвимости похожи на печально знаменитую уязвимость Heartbleed, только ещё хуже.