Nowy sposób wykorzystania znanej luki w Androidzie

Analitycy z firmy NorthBit zajmującej się cyberbezpieczeństwem, odkryli nowy sposób wykorzystania luki Stagefright w urządzeniach z systemem Android. Szczególnie narażeni na jej wykorzystanie są użytkownicy urządzeń HTC One, LG G3 i Samsung S5.

Luka odkryta w sierpniu ubiegłego roku dotyczyła ponad 95% urządzeń z Androidem. Pozwalała atakującemu na przejęcie kontroli nad urządzeniem i kradzież danych na nim zapisanych. Specjaliści wykazali, że nowy typ exploita, nazwany Metaphor, potrafi w nowy sposób wykorzystać tę lukę, omijając napotkane systemy zabezpieczeń. Luka Stagefright została już co prawda załatana w najnowszych wersjach systemu Androida. Nadal jednak zagraża tym użytkownikom, którzy mają zainstalowane starsze wersje systemu. Analitycy NorthBit, badając Stagefright, odnaleźli nowy sposób jego wykorzystania. Specjalny exploit, czyli program wykorzystujący luki w aplikacjach m.in. do realizowania ataków lub infekcji, umożliwia przejęcie kontroli nad podatnym na Stagefright urządzeniem.

Do tej pory przejęcie kontroli następowało na dwa sposoby: za pomocą wiadomości MMS – bez konieczności interakcji ze strony użytkownika lub za pośrednictwem spreparowanego linku, dołączanego do wiadomości e-mail lub SMS – wtedy użytkownik musiał kliknąć w otrzymany odnośnik. Jak wygląda proces wykorzystania luki przez Metaphor? Wystarczy, że użytkownik wejdzie na stronę z zainfekowanym plikiem wideo.

W efekcie w urządzeniu zawieszona zostaje usługa media server (odpowiedzialna za odtwarzanie multimediów). Równolegle na to samo urządzenie wysyłany jest plik, który zbiera dane o smartfonie czy tablecie i przesyła je do serwera atakującego. Serwer ten następnie wysyła spreparowany plik wideo, który doprowadza do infekcji. Cała operacja może wydawać się skomplikowana, ale w rzeczywistości trwa zaledwie 20 sekund. W tym czasie użytkownik nie wie, że jego urządzenie jest atakowane. Gdy akcja się powiedzie, atakujący uzyskuje dostęp do wszystkich danych znajdujących się na urządzeniu, a dodatkowo może podsłuchiwać i podglądać ofiarę.

Exploit Metaphor unika wykrycia przez mechanizmy zabezpieczające urządzenie. W najnowszych wersjach systemu Metaphor może ominąć ASLR, czyli wewnętrzne zabezpieczenie systemu przed działaniem exploitów. Metaphor działa na wersjach systemu Android od 2.2 do 4.0 oraz od 5.0 do 5.1.

Jak sprawdzić czy Twoje urządzenie jest podatne na lukę Stagefright? Użytkownik może to zweryfikować za pomocą bezpłatnej aplikacji ESET Stagefright Detector dostępnej w Google Play. Jeśli urządzenie okaże się podatne na atak, należy zaktualizować system do najnowszej wersji. Jeśli producent urządzenia nie udostępnił najnowszej wersji systemu Android, warto zastosować jedno z dostępnych na rynku rozwiązań antywirusowych dla urządzeń mobilnych.