ΑρχικήsecurityΚυκλοφόρησε το πρώτο Weaponized Android Stagefright exploit

Κυκλοφόρησε το πρώτο Weaponized Android Stagefright exploit

Ο Hanan Be’er, ερευνητής ασφαλείας για την ισραηλινή εταιρεία NorthBit, έχει αναπτύξει το πλήρως λειτουργικό exploit που εκμεταλλεύεται την Stagefright ευπάθεια για να θέσει σε κίνδυνο τις συσκευές Android.

Οι ερευνητές ασφαλείας της Zimperium ανακάλυψαν την Stagefright ευπάθεια τον περασμένο Αύγουστο, με αποτέλεσμα να αναγκάσουν την Google να ξεκινήσει την παροχή μηνιαίων ενημερώσεων ασφαλείας για τις Nexus συσκευές για τον επόμενο μήνα.

Η Google προσπάθησε να διορθώσει την Stagefright τον περασμένο Σεπτέμβριο, αλλά μια ατελής λύση και η ανακάλυψη του Stagefright 2.0 exploit έκανε το πρόβλημα χειρότερο και μεγάλωσε την κακή του φήμη.

Κυκλοφόρησε το πρώτο Weaponized Android Stagefright exploit

Τώρα, περισσότερο από μισό έτος αφότου το Stagefright βγήκε στην επιφάνεια, η NorthBit κυκλοφόρησε λεπτομέρειες σχετικά με την exploit routine που μπορεί να εκμεταλλευτεί την libstagefright βιβλιοθήκη στο Android Mediaserver component για να θέσει σε κίνδυνο τις συσκευές στο σύνολό τους.

Το exploit φτιάχτηκε πάνω σε ένα άλλο κομμάτι exploit κώδικα που κυκλοφόρησε τόσο από την Zimperium, η εταιρεία που ανακάλυψε την Stagefright ευπάθεια όσο και από την Google.

Το σενάριο επίθεσης της NorthBit είναι αρκετά απλό. Ένας εισβολέας χρειάζεται να ξεγελάσει έναν χρήστη για να εισέλθει σε μια ιστοσελίδα, όπου φιλοξενείται μια κακόβουλη εικόνα ή ένα βίντεο.

Επειδή το Stagefright ελάττωμα καταστρέφει τις Android συσκευές κατά την ανάγνωση μεταδεδομένων από τα αρχεία πολυμέσων, ο χρήστης πρέπει να μπει στην ιστοσελίδα του εισβολέα για να εκτεθεί στην επίθεση.

Το καλό είναι ότι η επίθεση παίρνει κάποιο χρόνο για να εκτελεστεί επειδή χρειάζεται να περάσει από τρία διαφορετικά στάδια. Το κακό είναι ότι οι συνδέσεις κινητής τηλεφωνίας είναι εγγενώς αργές και οι περισσότεροι χρήστες θα περιμένουν. Επιπλέον, η επίθεση μπορεί να πραγματοποιηθεί όταν ο χρήστης βλέπει ήδη ένα άλλο πιο μεγάλο βίντεο.

Κατά το πρώτο στάδιο, μια κακόβουλη εικόνα/βίντεο που περιέχει τον exploit κώδικα αναγκάζει το Mediaserver component του χρήστη να επανεκκινηθεί, γεγονός που επιτρέπει στον εισβολέα να συγκεντρώσει πληροφορίες για κάθε διαφορετικό χρήστη.

Χρησιμοποιώντας αυτά τα δεδομένα που συλλέγονται από τη συσκευή, ο διακομιστής του εισβολέα δημιουργεί ένα custom αρχείο βίντεο  για κάθε θύμα, το οποίο είναι πιο ισχυρό από το πρώτο payload και τρέχει με δικαιώματα root, επιτρέποντας στον εισβολέα να ανακτήσει τα δεδομένα από τη συσκευή ή να εγκαταστήσει spyware ή άλλα κακόβουλα προγράμματα (τρίτο στάδιο).

Αυτό το νέο exploit, που ονομάζεται Metaphor, λειτουργεί σε Android 2.2 μέχρι και 4.0, αλλά και στο Android 5.0 μέχρι 5.1, ακόμη και αν αυτές οι νεότερες εκδόσεις έχουν ASLR (Address space layout randomization) προστασία. Κατά ειρωνικό τρόπο, για να παρακάμψει την ASLR προστασία, η NorthBit χρησιμοποιεί το Stagefright exploit που κυκλοφορεί από την Google.

Κατά τη διάρκεια των δοκιμών τους, οι ερευνητές εκμεταλλευτήκαν τη Metaphor εναντίον του Nexus 5, του HTC One, του LG G3 και του Samsung Galaxy S5. Παρακάτω είναι ένα βίντεο της επίθεσης σε δράση:

[su_youtube url=”https://www.youtube.com/watch?v=I507kD0zG6k” width=”640″ height=”380″]https://www.youtube.com/watch?v=B7o0qA4L4So[/su_youtube]

spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS