Казалось, уязвимость Stagefright, поставившая под угрозу почти миллиард Android-устройств, сплотила этот сегментированный рынок. Баг заставил производителей ввести ежемесячные циклы обновлений для своих девайсов и в целом обратил внимание всего мира на проблему безопасности Android. Вот только специалисты компании Zimperium сообщают, что обнаружили Stagefright 2.0 – сразу два новых бага угрожают всем пользователям Android.
Новые уязвимости (CVE-2015-6602 и CVE-2015-3876) очень похожи на исходный Stagefright и тоже затрагивают раздел Android Media Playback Engine называющийся Stagefright. На этот раз опасность представляют файлы MP3 и MP4. Злоумышленники могут модифицировать их таким образом, что их обработка приведет к удаленному исполнению вредоносного кода на устройстве жертвы. Для срабатывания бага достаточно даже простой активации превью.
Первой обнаруженной уязвимости (в libutils) подвержены практически все устройства под управлением Android, начиная с версии 1 и заканчивая 5.1.1. Второй баг (в libstagefright) работает для Android 5.0 и выше.
Так как первая версия Stagefright позволяла хакерам атаковать пользователей через отправку MMS-сообщений, функцию MMS в популярных приложениях (Google Hangouts, Messenger и так далее) переработали и попросту отключили. Специалисты Zimperium полагают, что теперь атак следует скорее ожидать через браузер. По мнению экспертов, сейчас у атакующих есть три пути. Первый: заманивать пользователей на свой вредоносный сайт, при помощи фишинговых ссылок, через рекламные сети и другими методами. Второй: атакующие могут находиться в той же сети, что и жертва. Это позволяет им провести инъекцию эксплоита в незашифрованный трафик, используя техники перехвата трафика (MITM). Третий: использовать сторонние приложения (медиаплееры или мессенджеры), работающие с уязвимой библиотекой.
Представители Google уже готовят исправления для новых багов, а также спешат успокоить – по данным корпорации, случаев эксплуатации уязвимостей зафиксировано не было. Планируется, что патчи от Google войдут в состав Nexus Security Bulletin от 5 октября 2015 года.
Напомню, что согласно официальным данным, более 70% Android-устройств во всем мире работают под управлением устаревших версий ОС (4.4 и ниже), многие из них никогда не видели патчей вовсе. Учитывая, что обновления и исправления трудятся выпускать далеко не все производители, даже в таких серьезных случаях, как Stagefright, ситуация в целом печальная.
Фото: Sam Spratt\Gizmodo