PoC-эксплойт Metaphor для многострадальной библиотеки Stagefright, входящей в состав Android-компонента Mediaserver, позволяет менее чем за 20 секунд получить доступ к устройству производства Samsung, LG или HTC. В результате взломщик получает возможность внедрить вредоносное ПО и контролировать ключевые функции Android-смартфона.

Уязвимость CVE-2015-3864 (целочисленное переполнение) в libstagefright была обнаружена Джошуа Дрейком (Joshua Drake) в июле прошлого года. С тех пор Google латала эту библиотеку раз двадцать, последний раз — полторы недели назад.

Новый вариант атаки на брешь в Stagefright предложили исследователи из израильской компании NorthBit. Эта PoC-атака была успешно воспроизведена на Nexus 5, LG G3, HTC One и Samsung Galaxy S5; по данным израильтян, риски также высоки для Android 2.2, 4.0, 5.0 и 5.1.

Новый PoC-эксплойт предполагает отправку потенциальной жертве сообщения со ссылкой на видеоролик, размещенный на сайте. Попытка его загрузки вызывает сбой и рестарт видеоплеера, с передачей злоумышленникам данных об аппаратных и программных средствах смартфона — для выявления наличия уязвимости. Если результат положительный, пользователю отдается другой видеоролик, с эксплойт-кодом, который отрабатывает в браузере, обеспечивая атакующим контроль над данным устройством.

Разработанная NorthBit атака использует обход ASLR-защиты Mediaserver: «Взлом ASLR требует некоторой информации об устройстве, так как конфигурации разных устройств не всегда одинаковы, что может повлиять на величину смещения или предсказуемость адреса ячейки памяти. Используя одну и ту же уязвимость, можно добиться считывания указателя на произвольные данные и слива в браузер информации, необходимой для взлома ASLR».

Исследователям удалось осуществить удаленный эксплойт через браузер с помощью медиафайла с зашифрованными метаданными. Эти метаданные доступны через JavaScript с помощью таких элементов тэга <video>, как width, height и duration. Mediaserver выполнил парсинг и вернул метаданные браузеру, что позволило атакующим установить контроль над целевым устройством.

По оценке NorthBit, 23% Android-устройств работают на версиях 5.0 и 5.1, то есть атака Metaphor актуальна для 235 млн гаджетов. Ни Google, ни другие заинтересованные производители пока никаких заявлений в отношении новой угрозы не сделали.

При создании PoC-эксплойта исследователи, по их словам, полагались на результаты самой Google в отношении нашумевшей уязвимости в libstagefright. Некоторые ИБ-эксперты склонны считать, что эта брешь обнажила фундаментальные проблемы, связанные с патчингом ПО. Однако Крис Энг (Chris Eng), вице-президент по исследованиям Veracode, полагает, что эти проблемы особенно остро проявляются в экосистеме Android.

«Латание брешей в приложениях — особый вызов для Android-сообщества, с его армией разных производителей и телеоператоров, на которых возложена ответственность за раздачу патчей на устройства, — заявил Энг в ответ на запрос Threatpost. — Что касается Stagefright, мы ожидаем, что Google поторопится с выпуском патча для решения новой проблемы. Мы также надеемся, что повторения Stagefright 2.0 при этом не будет: многие патчи тогда не дошли до конечного пользователя».

«Google постигли те же проблемы с управлением патчами, которыми ранее грешила Microsoft», — отметил аналитик мобильных угроз Уилл Стофега (Will Stofega) из IDC. По его словам, быстрому применению патчей для таких брешей сильно мешают фрагментация OEM-софта и неспешность операторов сотовой связи, отвечающих за выпуск и развертывание обновлений. «Это одна из наиболее серьезных уязвимостей Android, которая, будем надеяться, заставит Google и телеоператоров повысить эффективность совместной работы над управлением патчами», — заключает эксперт.

Категории: Главное, Уязвимости