Lámpaláz a köbön: nyakunkon a Stagefright-sebezhetőség

2015.07.28. 15:38 Yarner

Tegnap óta ettől égnek a vonalak minden fronton: a Zimperium szoftverbiztonsági cég egyik embere (emlékeztek talán, ők rajták össze a felhasználóbatát hekkerappot is)  elárulta a sajtónak, hogy bombahírrel készül a közelgő Las Vegasi hackerkonferenciára: olyan sebezhetőséget találtak az Androidban, amivel

  • egy szimpla MMS-sel
  • lényegében minden androidos telefont 2.2-es verzió fölött
  • teljesen meg lehet szállni, minden adat, beszélgetés, stb lefülelhetővé válik.

A részleteket majd jövő hét csütörtökön, a konferencián árulja el, addig is mindenkinek jó éjszakát.

Érthető módon a sajtó így reagált:

redalert.gif

és nem is igazán hibáztathatjuk, ez durva. Nézzük meg kicsit alaposabban az ügyet, és járjuk körül, hogy mit tehetünk ellene, avagy mit tesznek mások értünk.

Először is, ahogy írtam, a vírushordozó trója faló ez esetben egy MMS üzenetbe ágyazott videó, amit az Android ma már ősrégi, Froyo verziójában bevezetett, a rendszer terhelését csökkentendő Stagefright (lámpaláz) nevű modul előre beolvas. Ennek köszönhetően a videóba rejtett kód aktiválódik, egyes esetekben akár anélkül, hogy megnyitnánk a kérdéses üzenetet. A telefonunk tehát már fertőzött lehet, mire a kérdéses videót egyáltalán megnézzük (bár a vírus el is tüntetheti maga után a falovat).

Persze a Google egyik szóvivője is üzent az ügyben (ők egyébként már április óta tudnak a sebezhetőségről, a Zimperium nekik szólt először): 

Jelentette, hogy már elküldték a szükséges javításokat az érintetteknek, egyébként pedig az Android nagyon biztonságos, pl. sandboxban működnek az alkalmazások, így nem férhetnek hozzá egymás adataihoz. (Ez  a hírek alapján nem igazán releváns...) Emellett még egy kicsit hegedült azon, milyen szép dolog a nyílt forráskód, hiszen így a közösség is segíthet a problémák felderítésében, éppen ezért ajánlottak mindenféle díjakat a sebezhetőségeket találók számára. Adás vége.

"Hurrá, a gyártók már megkapták a javítókódot. Akkor mincs mit tenni, csak feltelepíteni a legújabb frissítést a telefonomra, nem igaz?"  (Itt most mindenki, a vérmérsékletének megfelelően vagy húzza össze rosszallón a szemöldökét, vagy csapkodja a térdét harsányan kacagva).

Tehát megint belebotlottunk, az Android kriptonitja, a fragmentáció mumusába. Jól tudjuk, hogy a készülékek túlnyomó többségét már a büdös életben nem fogják frissíteni, még csak egy vacak biztonsági patch erejéig sem, de még az aránylag friss telefonok esetében is hónapokig tarthat egy update kitolása - és akkor még nem is beszéltem a szolgáltatók tököléséről. 

Szóval magad, uram, ha szolgád nincsen.

Azért nézzük meg a dolgot a félig teli-pohár szemünkkel is: a fertőzés MMS-sel terjed. MMS-sel. Persze mindenkinek más lehet a személyes tapasztalata, de én életemben vagy 3 MMS-t kaptam, és az is mind reklám volt, az utolsót talán másfél éve. Lehet, ideje lenne nyugdíjazni ezt a kommunikációs módot, azt hiszem, keveseknek hiányozna, és van helyette ezer más, jobb módja a multimédia megosztásának.

Mit tehetünk?

Először is nézzük meg, milyen appot használunk az MMS-ek (és persze SMS-ek) kezelésére. A Google Hangouts a legveszélyeztetettebb kliensek közé tartozik, ez ugyanis a háttérben már az érkezés pillanatában kinyitja az érkező multimédiát, hogy az értesítésekben kaphassunk egy kattintható előképet. Az Android default üzenetkezelője, a Messenger kicsit szerencsésebb, az ugyanis csak akkor nyitja meg a videót, ha megnyitjuk magát az üzenetet. (Mivel a sebezhetőség részletei még nem ismertek teljesen, nem tudni, vajon a gyártók saját SMS-appjai ugyanígy működnek-e).

Mindenesetre az első védelmi falunk, hogy az SMS-alkalmazásunk beállításai között megkeressük az MMS üzenetek automatikus letöltése (Auto-retrieve MMS)  nevű kapcsolót és kinyomjuk, ezzel legalább azt bebiztosítottuk, hogy nem fog a háttérben elindulni a gonosztevő, ha valaki bepróbálkozna.

mms_kapcs.png

A második lépcső lehet az ismeretlen küldők blokkkolása, erre a Messenger alkalmazás beállításai között van lehetőség (A Sony nálam működő Messengerében nincs ilyen) - bár ez egyrészt kicsit radikális, ugyanis minden ilyen SMS-t is kiüt, ráadásul arra nem ad senki garanciát, hogy nem éppen valami ismerős számáról küldenek fertőzött csomagot.

A harmadik megoldás az MMS-ek teljes kitiltása a készülékünkről - ez persze csak azoknak lehet megnyugtató megoldás, akik, hozzám hasonlóan lényegében csak elméleti síkon ismerik ezt a kommunikációs csatornát. Erre a legegszerűbb a telefounk beállításai között a Mobilhálózatok között rábökni a Hozzáférési pontokhoz, (Access point names, APN), itt bemenni az MMS alá és simán kitörölni minden rubrikát (vagy hozzáírni, ahogy tetszik, lényeg, hogy megváltozzanak a címek, számok, legfőképp az MMSC címe). Az MMS a mobilinternettől és az SMS-től is független módon működik, így ezzel elvileg nem okozhatunk semmi zavart az erőben, csak a multimédiás SMS-eknek kell búcsút intenünk (marad helyettük a Facebook, Twitter, Google Plus, Viber, Whatsapp, s valahány név a naptárba).

hozzaferesi.png

Mindenesetre jövő hét végére már okosabbak leszünk a Stagefright-dilit illetően, biztos, hogy amint több részlet kiderül, hamar lesznek jobb ellenszerek, esetleg alternatív SMS-kezelő appok, vagy más trükkös megoldások. 

Az is biztos, hogy ez az ügy megint csak rossz fényt vet a Google-re ás az Androidra általában, hiszen a szétforgácsolt helyzet miatt nagyon nehezen kezelhetőek az ilyen szituációk, felhasználók milliói maradnak magukra hagyva minden újabb biztonsági rés felfedezésekor. Reméljük, tanulnak belőle. 


Címkék: hírek biztonság vírus

A bejegyzés trackback címe:

https://androlib.blog.hu/api/trackback/id/tr987660798

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

András Kriston 2015.07.28. 15:55:15

En szivesen torolnem az MMS APN-t, semmi szuksegem ra, eletemben nem kuldtem meg MMS-t, de ez az idiota telefon nem engedi (LG G2), tulajdonkeppen a beepitett APN-ekkel semmit sem enged, se szerkeszteni, se torolni. Rootolva vagyok, valami megoldast tud valaki?

Yarner · http://androlib.blog.hu 2015.07.28. 16:02:50

@András Kriston: Így láttatlanban: próbálj megadni egy újat, rossz adatokkal. hátha azt engedi...

Darkcomet 2015.07.28. 17:53:03

Sajnos nem csak MMS-be lehet a támadást végrehajtani, hanem bármilyen preparált videót tartalmazó linken keresztül is. Ugye itt már belép a felhasználó felelőssége is, de a probléma adott, mivel ezeket a videókat be lehet rakni facseba, vagy csak egyszerűen egy kamu oldalra. A másik az, hogy az apn macerálása nem minden készüléken működik. Az én telenoros G3-om telomon nem lehet se törölni, se szerkeszteni az apn-eket.

Yarner · http://androlib.blog.hu 2015.07.29. 10:33:14

@Darkcomet: Igen, most, hogy mondtad, sikerült találnom egy szem oldalt, ahol erről is esik szó. A cikkek 99%-a az MMS-ről beszél. Kivárjuk 6-át, aztán kiderül, addig nem bökdösünk videókra csak YT appban :(

meglivorn 2015.07.29. 13:19:22

Ilyenkor az lenne a megoldás, ha a google kiadna egy appként, a Playből telepíthető peccset. Ugyan a gyártók felelőssége a frisítés meg mifene, de a hiba mégis az alap android része, ami elvileg minden "distrón" ugyanaz, fuggetlenül a rápakolt gyártói púptól...
Persze valószinüleg a dolog ennél komplikáltabb meg mifene, végülis túl szép és túl egyszerű megoldás lenne :D

Yarner · http://androlib.blog.hu 2015.07.29. 13:43:30

@meglivorn: A rendszer mélyén van a rés, ezért sima app nem hiszem, hogy elérné. A Play Servicesnek talán még lenne esély, de úgy tűnik, az sem ilyen erős. (Bár valaki elmélázott rajta, hogy ha a résen át lehet root jogot szerezni, akkor apatch is eljátszhatná ugyanezt, hogy bejusson elég mélyre...)

Réka ‎ · http://blog.rekafoto.com/ 2015.07.29. 15:01:14

Hálistennek soha nem kapok/küldök MMS-t, bár ha utánagondolok, a beépített (színes) emojik automatikusan MMS-sé változtatják az SMS-t. Ezt onnan gyanítom, hogy külföldön ha SMS-ezek és beillesztenék egy ilyet, akkor nem küldi el az üzenetet, ha nincs bekapcsolva az adatforgalom.
A Hangouts-t viszont sokáig használtam SMS/MMS küldésre is, a Lollipop óta viszont egyáltalán nem használom, mivel az új verzióban megjelent az invazív popup notification, szóval akkor is jött a kicsi felugró ablak, ha valamit teljes képernyős módban néztem/csináltam. Mivel utálom, ha a telefonom mondja meg, hogy mire figyeljek, azonnal felhagytam a használatával. Hasonló okok miatt töröltem a Facebook appot is: jöttek a kis popup ablakok kéretlenül, hogy pl. megválaszolatlan event invite-om van... hát 'nyád, ha kíváncsi vagyok, akkor majd kinyitom az appot, de engem írás vagy filmnézés közben ne zavarjon a saját telefonom. A Facebook remekül fut a böngészőben is és nincs több popup.

zsoltix 2015.07.29. 15:49:29

Most néztem meg először az üzenetbeállításokat. A multimédiásnál ki volt pipálva az automatikus fogadás, meg a hirdetések fogadása is, kivettem mindkettőből.

szcsongor 2015.07.29. 16:32:03

@Yarner: Pontosan. Ha egy ilyen vírus (vagy trójai) képes egy rootolatlan telón is ilyen szintű hozzáférést szerezni, akkor nehogy már a Google ne tudjon fabrikálni egy ellen-appot vagy valamit ami ugyanúgy képes bármilyen androidos telón rendszerszintű változtatásokat végrehajtani.

szcsongor 2015.07.29. 16:33:38

@Réka ‎: Apponként be lehet állítani, hogy mi "notifikálhat" és mi nem. Csak ezért kár volt letörölni a fb appot.

Réka ‎ · http://blog.rekafoto.com/ 2015.07.29. 17:09:03

@szcsongor: nem néztem utána, az első popup után kb 10 másodperccel töröltem az appot, elvi okokból is. A Hangoutsban pedig nem volt kikapcsolható.

Szalay Miklós 2015.07.29. 17:38:24

Kiváló módszer továbbá Nokia 3310-et használni. ;)

Nbl 2015.07.29. 18:06:54

Kiadhatna a Google egy hangouts frissítést és utána azt beállítani üzenetkezelőnek már biztonságos lenne.

decoati 2015.07.29. 23:50:51

@Nbl: úgyis várja mindenki, mint a messiást. Belengették, hogy visszatért a projekthez a google voice volt fejlesztője, aki nem kicsit átdolgozta a mororteret. +1 opció,a.itnyugodtan belerakhat, ideiglenes megoldásnak megteszi.

Darkcomet 2015.07.30. 06:39:31

@Yarner: Itt a második felvonás:

androidportal.hu/2015-07-29/stagefright-masodik-felvonas/

Darkcomet 2015.07.30. 07:23:28

@szcsongor: Én továbbmegyek. Ha ennyire egyszerű root jogosultságot szerezni, akkor még olyasmin is érdemes elgodolkozni, hogy esetleg nem egy gyári, tehát a Google által tudatosan beepített sebezhetőségről van-e szó, ami most napvilágra került.

Google+
süti beállítások módosítása