Что за вирус Stagefright и почему он так встряхнул мир Android
В июле 2015 года Джошуа Дрейк (Joshua Drake), исследователь из компании Zimperium Research Labs, нашел вирус новейшего типа, использующий уязвимость в Stagefright — компоненте Android, отвечавшим за проигрывание хоть какого мультимедийного контента. Конкретно из-за принципа инфецирования устройств вирусу и дали одноимённое заглавие — Stagefright.
Чтоб захватить девайс жертвы при помощи этого зловреда, злодею довольно было выслать ей MMS-сообщение. В подавляющем большинстве случаев система начинала обрабатывать приобретенное сообщение автоматом (юзеру даже не надо было открывать MMS), опосля что вирус проникал в систему и делал вредный код, получая полный доступ к системе. Вредонос мог удалить следы собственного возникновения в операционной системе ещё до того, как юзер узрел бы извещение о новеньком MMS.
В крайних на тот момент версиях Android использовались относительно действенные меры сохранности наподобие «песочницы», но они были никчемными, если на устройстве был получен Root-доступ (что не являлось редкостью в то время). Делему ухудшало и то, что некие устройства использовали Stagefright в качестве привилегированного процесса — это перечёркивало все уровни защиты системы сохранности.
Вирус был небезопасен примерно для 950 млн устройств, что на тот момент составляло около 95% всех девайсов на базе Android. Он был не страшен лишь новым моделям на базе Android 5.1.1 Lollipop (даже не все Nexus от Гугл владели данной для нас версией системы) и откровенно старенькым телефонам на базе Android 2.1 Gingerbread и наиболее ранешних версий. По официальным данным, в августе 2015 года Android 5.1 Lollipop был установлен на 2,6% устройств на базе «зелёного бота», а девайсов на Android 2.1 и наиболее ранешних версиях было так не достаточно (меньше 0,1%), что Гугл даже не включал их в официальную статистику.
Официальная статистика распространённости версий Android, изготовленная 3 августа 2015 года за 7-дневный период
Юзеры могли обезопасить своё устройство, лишь используя SMS-клиент, позволяющий выключить автоматическую загрузку MMS-вложений либо перекрыть сообщения от неведомых номеров.
Как Гугл и производители отреагировали на вредонос
Может быть, Гугл и ранее планировал сделать лучше свою политику выпуска обновлений сохранности для Android, но конкретно опосля шумихи вокруг Stagefright (наименее чем через 2 недельки со денька обнародования инфы о вирусе в блоге Zimperium Research Labs) компания объявила о том, что будет выпускать каждомесячные патчи сохранности для собственных устройств серии Nexus. Кроме этого, компания обязалась поддерживать фирменные девайсы в течение трёх лет: 1-ые два года с момента выхода телефоны и планшеты гарантированно будут получать обновления Android, а в доп 12 месяцев аксессуары будут получать ещё и патчи сохранности.
Также в тот момент Гугл решила уведомлять собственных партнёров о конфигурациях в системе сохранности Android, чтоб те тоже могли вовремя выпускать их для собственных телефонов и планшетов. Скоро опосля этого Самсунг и LG поддержали «корпорацию добра», тоже анонсировав каждомесячный выпуск патчей сохранности для собственных устройств (но не уточнили, для каких непосредственно — всех либо лишь флагманов). Вообщем, мысль Гугл вдохновила не всех. Например, HTC заявила, что это нереалистичная задачка. В этом частично была толика правды, так как в то время обновлять телефоны было вправду сложнее для производителей, в особенности тех, которые распространяли свои устройства через операторов сотовой связи (ведь конкретно провайдеры рассылали обновления, и в связке меж Гугл, производителем и устройством возникало ещё одно очень копотливое звено).
Тогда Гугл пообещал ещё и то, что опосля детализированного исследования уязвимости Stagefright создатели обновят AOSP — для того, чтоб свежайшим версиям посторониих прошивок наподобие пользующейся популярностью в то время CyanogenMod вредонос был тоже нестрашен. Но, забегая наперёд, зловред давал о для себя знать значительно подольше, чем подразумевал Гугл с иными производителями.
Stagefright бесчинствовал ещё длительное время опосля первых патчей сохранности
Хоть производители достаточно стремительно обзавелись патчами сохранности опосля обнаружения Stagefright в июле 2015-го, этот вирус ещё давал о для себя знать. Во-1-х, в то время обновления системы безопасностей рассылались очень длительно. Во-2-х, системные заплаты выходили поначалу для животрепещущих устройств, а лишь позже для наиболее старенькых — обладатели не самых новейших моделей были подольше под опасностью. В-3-х, большая толика девайсов так и не получила священный патч сохранности, так как производители просто не могли обновить 950 млн устройств.
Но даже если б можно было закрыть дыру в сохранности девайсов по щелчку пальцев, это всё равно не уберегло бы мир Android от новейшего проявления Stagefright. Критический патч, выпускаемый Гугл с иными производителями, был разработан в кратчайшие сроки — он избавлял брешь лишь относительно MMS-сообщений, а вредонос, стоит напомнить, употреблял уязвимость инструмента Stagefright, который отвечал за обработку полностью хоть какого мультимедийного контента. Естественно, неувязка не принудила себя длительно ожидать: в октябре вирус возвратился и стал взламывать девайсы через аудиофайлы. Принцип был этот же — жертве скидывали музыкальный файл. Хоть данный способ и был наименее действенным (приложения не загружали аудио автоматом, из-за что вирус проникал в устройство, лишь если юзер вручную надавливал на файл), угроза всё равно была очень серьёзной, так как Stagefright мог попасть в телефон либо планшет каким угодно иным образом.
@benmmurphy @suka_hiroaki even in the browser it runs out of process… except for Firefox =)
— Joshua J. Drake (@jduck) July 27, 2015
Так как неувязка крылась на уровне системы, создатели приложений навряд ли могли защитить юзеров от уязвимости. В Twitter Джошуа Дрейк (обнаруживший Stagefright исследователь) сказал одному из юзеров, что вирус полностью может просочиться и через браузер, когда юзер закачивает какие-либо файлы либо даже открывает вредный сайт. Он не произнес открытым текстом «не используйте Chrome», но выделил, что безопаснее всего применять Firefox.
Почему Stagefright не сгубил любой 2-ой телефон, а совместно с сиим и весь Android
Беря во внимание всё вышеперечисленное, могут появиться логичные вопросцы: если вредонос был небезопасен для 95% девайсов на Android, от него не выручали полностью критические патчи сохранности, а большущее количество устройств и совсем остались без хоть каких-то обновлений, почему о вирусе Stagefright не достаточно кто слышал за пределами техногиковской среды, почему он не заразил практически все телефоны на «зелёном боте» и потом не сгубил операционную систему Android (от которой покупатели наверное отказались бы в пользу iOS либо Windows Phone, которым не был страшен этот зловред)?
К счастью для юзеров, производителей и Гугл уязвимость в Stagefright открыл исследователь в области кибербезопасности, а не общество взломщиков. Джошуа Дрейк не стал следовать алчным целям, а сказал от имени собственной компании о отысканной дилемме конкретно разрабам из Гугл, которые очень стремительно начали работать над устранением уязвимостей. Все детали о Stagefright не были раскрыты общественности по понятным причинам. Но даже если какие-то хакеры и догадывались о том, что из себя представляет уязвимость, далековато не все из их смогли бы пользоваться ею — по данным Zimperium Research Labs, эксплуатирование данной для нас дыры в сохранности было неподвластно хакерам-новичкам.
Источник: