К сожалению, отсрочить неизбежное удалось ненадолго. Компания Zimperium, в июле 2015 года опубликовавшая информацию об уязвимости Stagefright, поставившей под угрозу почти 1 млрд Android-устройств, все же обнародовала код эксплоита.
Напомню, что уязвимость позволяет взламывать устройства под управлением любой версии Android, начиная с 2.2, просто отправляя на них сконфигурированные определенным образом MMS-сообщения. Такое сообщение может автоматически самоликвидироваться быстрее, чем пользователь вообще что-либо заметит. Стоит ли удивляться, что проблема Stagefright минувшим летом не на шутку переполошила не только сетевую общественность, но и производителей устройств.
Можно сказать, что Stagefright отвесила ощутимый пинок производителям. Компании Google, Samsung, LG, HTC, Sony, Android One и другие немедленно принялись за разработку патчей и объединили усилия. Некоторые даже учредили ежемесячные циклы обновлений для своих Android-девайсов.
К сожалению, после выхода первых патчей, специалисты компании Exodus выяснили, что выпущенные заплатки легко обойти. Разумеется, исправления были доработаны, вышли патчи для Hangouts и Messenger, но учитывая ужасающую фрагментацию рынка Android-устройств, попытки крупных компаний повлиять на ситуацию, увы, играют не такую большую роль. По последним официальным данным, более трети всех Android-устройств до сих пор работают под управлением Jelly Bean (4.1.x, 4.2.х, 4.3), а еще треть под управлением KitKat (4.4). Производители не торопятся даже обновить ОС на этих девайсах, не говоря уже о выпуске каких-то патчей, пусть даже речь идет об огромной дыре в безопасности.
Хотя Google и другие компании просили специалистов Zimperium подождать и не публиковать эксплоит, эксперты решили по-своему. 9 сентября 2015 года в официальном блоге компании Zimperium был опубликован proof-of-concet эксплоита. Согласно сообщению вице-президента компании Джошуа Дрейка (Joshua Drake), который в июле и обнаружил Stagefright, код опубликован для проведения тестирований и прочих исследовательских целей. Эксперты Zimperium уверяют, что эксплоит адресован в первую очередь специалистам по безопасности, пентестерам и администраторам.
Публикация включает в себя скрипт, написанный на Python, который создает MP4-файл для эксплуатации уязвимости "stsc" (CVE-2015-1538). Это и есть наиболее критический баг, связанный с библиотекой libstagefright.
Сообщается, что эксплоит не универсален, он гарантированно работает только на Google Nexus под управлением Android 4.0.4. Также эксперты отмечают, что эксплоит сложно назвать гарантированно рабочим, учитывая вариации heap лейаута. Тем не менее, в результате такой атаки, хакер пентестер получит почти полный контроль и сможет удаленно снимать звук с микрофона или динамика устройства, получать снимки с камеры и так далее.