Исследователь нашумевшей уязвимости системы Android, получившей название «мастер-ключ», в подробностях рассказал о том, как шло раскрытие информации по уязвимости. Злоумышленникам удалось узнать об уязвимости и разобрать код патча. В результате хакеры написали и распространили вредоносное ПО за несколько дней до того, как Google опубликовал патч для широкой общественности.

Джефф Форристал (Jeff Forristal) из компании Bluebox Security долго рассказывал об этом во время конференции Black Hat USA 2013, состоявшейся на прошлой неделе. По его словам, многие детали данной уязвимости были раскрыты и озвучены в средствах массовой информации еще до того, как он смог рассказать о них на конференции.

Форристал и его команда передали отчет об обнаруженном баге в Google еще 15 февраля, до того, как об уязвимости стало известно широкой публике. Вскоре после этого Google подтвердил ее существование и уже в марте начал рассылку решений для исправления бага своим партнерам по Open Handset Alliance (OHA). Неизвестно, каким образом, но детали патча всплыли в репозитории открытого исходного кода задолго до их официального опубликования Google, хотя и значительно позже стандартного периода «сокрытия подробностей».

В своей электронной переписке с Threatpost Форристал сообщил, что детали исправления бага Google разослал своим партнерам по OHA и теперь уже они несут ответственность за их применение. Одни уже использовали их, а другие и не собираются этого делать, заявил Форристал на пресс-конференции перед своим выступлением. В любом случае политика Google, по словам Форристала, состоит в том, чтобы выждать 90 дней до момента размещения деталей патча в Android Open Source Project (AOSP), то есть в репозитории открытого исходного кода. Таким образом, члены OHA имеют 90-дневную фору, благодаря которой они могут справиться с уязвимостью еще до того, как она станет широко известной.

В данном конкретном случае, отметил Форристал, Google фактически скрывал детали уязвимости на протяжении 150 дней. При этом компания могла сделать эту информацию общедоступной еще в начале июня. Интересно, что детали патча к уязвимости всплыли 6 июля в репозитории исходного кода Cyanogenmod. Однако до 25 июля Google все равно не стал публиковать данную информацию в AOSP.

«Авторский» вариант патча совпадает с официальным патчем Google, — уточнил Форристал. — Я не знаю точно, как Cyanogenmod получил исходный код, но это уже не имеет значения, потому что к этому моменту (6 июля) 90-дневное окно «сокрытия данных» Google уже давно прошло и информация уже обсуждалась, так что не было никакого смысла ее задерживать. Разумнее было бы выложить патч в свободный доступ».

По словам Форристала, некоторые считают, что он представил слишком много информации в реферате для Black Hat, размещенном в экспертном блоге Bluebox, что позволило желающим найти баг самостоятельно. Поэтому он предложил предъявить ему хотя бы один аккаунт, пользователю которого удалось воссоздать баг на основе информации из реферата на Bluebox.

В реальности эксплойт появился 23 июля, за два дня до публикации компанией Google официального релиза для AOSP. Неизвестно, когда именно разработчики вредоносной программы получили код патча, но если это произошло 6 июля в момент размещения кода в Cyanogenmod, то получается, что действующий вирус был создан всего за 17 дней, что, по словам Форристала, весьма шустро.

«Если предположить, что в какой-то момент информация была раскрыта полностью, и считать появление действующего эксплойта PoC точкой обратного отсчета, то таким моментом должно быть 6 или 7 июля, — считает Форристал. — Symantec сообщила о первом случае обнаружения вредоносной программы 23 июля. Так что вполне возможно, что создатели эксплойта получили или вычислили информацию для работы над багом 6 июля. Точнее сказать невозможно».

Конечно, Форристалу и Bluebox больше бы понравилось, если бы детали патча оставались неизвестными, чтобы они могли представить их на брифинге во время Black Hat. «Но, конечно, не было никакого специального соглашения или намерения придерживать подробности о баге до экспертного поста на Bluebox, посвященного поездке на Black Hat, это слишком долгосрочная перспектива для Bluebox», — подчеркнул эксперт.

Позднее Форристал заметил, что он не так уж много потерял из-за публикации сообщения 6 июля в Cyanogenmod, даже учитывая, что ему не посчастливилось стать первым, кто обнародовал детали бага — на Bluebox или в ходе своего выступления на Black Hat 1 августа. Потому что, если бы это случилось, уверен он, ход развития событий был бы таким же, только начались бы они не 6 июля, а 1 августа. Кроме того, Форристал признает, что его группа не имела эксклюзивного права быть первой в публикации деталей бага.

Категории: Вредоносные программы, Кибероборона, Уязвимости