Alle Windows-Problemen En Andere Programma'S Oplossen

De meeste Android-telefoons kunnen worden gehackt met een eenvoudig MMS-bericht of multimediabestand

De overgrote meerderheid van Android-telefoons kan worden gehackt door ze een speciaal vervaardigd multimediabericht (MMS) te sturen, heeft een beveiligingsonderzoeker ontdekt.

verwijder astromedia

De enge exploit, waarvoor alleen het telefoonnummer van het slachtoffer bekend is, is ontwikkeld door Joshua Drake, vice-president platformonderzoek en -exploitatie bij mobiel beveiligingsbedrijf Zimperium.



Drake vond meerdere kwetsbaarheden in een Android-kerncomponent genaamd Stagefright die wordt gebruikt om multimediabestanden te verwerken, af te spelen en op te nemen. Sommige van de fouten maken het uitvoeren van externe code mogelijk en kunnen worden geactiveerd bij het ontvangen van een MMS-bericht, het downloaden van een speciaal vervaardigd videobestand via de browser of het openen van een webpagina met ingesloten multimedia-inhoud.



Er zijn veel potentiële aanvalsvectoren, want wanneer het Android-besturingssysteem media-inhoud van welke bron dan ook ontvangt, zal het via dit raamwerk worden uitgevoerd, zei Drake.

De bibliotheek wordt niet alleen gebruikt voor het afspelen van media, maar ook om automatisch miniaturen te genereren of om metadata uit video- en audiobestanden te extraheren, zoals lengte, hoogte, breedte, framesnelheid, kanalen en andere soortgelijke informatie.



Dit betekent dat gebruikers niet per se kwaadaardige multimediabestanden hoeven uit te voeren om misbruik te kunnen maken van de door Drake gevonden kwetsbaarheden. Het louter kopiëren van dergelijke bestanden op het bestandssysteem is voldoende.

De onderzoeker weet niet zeker hoeveel applicaties op Stagefright vertrouwen, maar hij gelooft dat zowat elke app die mediabestanden op Android verwerkt, het onderdeel op de een of andere manier gebruikt.

De MMS-aanvalsvector is de engste van allemaal omdat er geen interactie van de gebruiker voor nodig is; de telefoon moet alleen een kwaadaardig bericht ontvangen.



De aanvaller zou bijvoorbeeld de kwaadaardige MMS kunnen verzenden wanneer het slachtoffer slaapt en het belsignaal van de telefoon is uitgeschakeld, zei Drake. Na uitbuiting kan het bericht worden verwijderd, zodat het slachtoffer nooit zal weten dat zijn telefoon is gehackt, zei hij.

De onderzoeker vond niet alleen de kwetsbaarheden, maar creëerde ook daadwerkelijk de nodige patches en deelde deze in april en begin mei met Google. Het bedrijf nam de problemen zeer serieus en paste de patches binnen 48 uur toe op zijn interne Android-codebasis, zei hij.

Die code wordt vooraf gedeeld met apparaatfabrikanten die deelnemen aan het Android-partnerschapsprogramma, voordat deze openbaar wordt vrijgegeven als onderdeel van het Android Open Source Project (AOSP).

Helaas, vanwege het over het algemeen trage tempo van Android-updates, wordt meer dan 95% van de Android-apparaten nog steeds getroffen, schat Drake.

Zelfs onder de Nexus-apparaten van Google, die doorgaans sneller patches krijgen dan die van andere fabrikanten, heeft alleen de Nexus 6 tot nu toe enkele van de oplossingen ontvangen, aldus de onderzoeker.

Het kan maanden duren voordat Android-patches de apparaten van eindgebruikers bereiken via draadloze updates. Dat komt omdat fabrikanten eerst de code van Google in hun eigen repositories moeten trekken, nieuwe firmwareversies voor elk van hun apparaten moeten bouwen, deze moeten testen en vervolgens met mobiele providers moeten werken om de updates te distribueren. Apparaten ouder dan 18 maanden ontvangen over het algemeen geen updates meer, waardoor ze voor onbepaalde tijd kwetsbaar zijn voor nieuw ontdekte problemen.

De kwetsbaarheden die door Drake zijn gevonden, zijn van invloed op apparaten met Android-versie 2.2 en hoger, wat betekent dat er een groot aantal apparaten zijn die waarschijnlijk nooit patches voor hen zullen ontvangen.

De onderzoeker schat dat slechts ongeveer 20% tot 50% van de Android-apparaten die vandaag in gebruik zijn, patches zullen krijgen voor de problemen die hij heeft gevonden. Hij merkte op dat 50% wishful thinking is en dat het hem zou verbazen als dat zou gebeuren.

In een verklaring per e-mail bedankt Google Drake voor zijn bijdrage en bevestigde dat patches aan partners zijn verstrekt.

'De meeste Android-apparaten, inclusief alle nieuwere apparaten, hebben meerdere technologieën die zijn ontworpen om exploitatie moeilijker te maken', aldus het bedrijf. 'Android-apparaten bevatten ook een applicatie-sandbox die is ontworpen om gebruikersgegevens en andere applicaties op het apparaat te beschermen.'

Wat aanvallers kunnen doen nadat ze de door Drake gevonden kwetsbaarheden hebben misbruikt, kan per apparaat verschillen. Hun kwaadaardige code wordt uitgevoerd met de privileges van het Stagefright-framework, dat op sommige apparaten hoger is dan op andere. Over het algemeen krijgen de aanvallers toegang tot de microfoon, camera en de externe opslagpartitie, maar kunnen ze geen applicaties installeren of toegang krijgen tot hun interne gegevens.

Dat gezegd hebbende, schat Drake dat op ongeveer 50% van de getroffen apparaten het framework draait met systeemrechten, waardoor het gemakkelijk is om root-toegang te krijgen en dus volledige controle over het apparaat. Op de andere apparaten zouden aanvallers een afzonderlijke kwetsbaarheid voor escalatie van bevoegdheden nodig hebben om volledige toegang te krijgen.

Aangezien de patches voor deze fouten nog niet in AOSP zitten, hebben apparaatfabrikanten die geen Google-partner zijn er geen toegang toe. Het betekent ook dat AOSP-gebaseerde firmware van derden, zoals CyanogenMod, waarschijnlijk nog steeds kwetsbaar is.

Drake deelde de patches privé met enkele andere betrokken partijen, waaronder Silent Circle en Mozilla.

Silent Circle bevatte de fixes in versie 1.1.7 van PrivatOS, de op Android gebaseerde firmware die het ontwikkelde voor zijn Blackphone-apparaat dat op privacy gericht is.

Mozilla Firefox voor Android, Windows en Mac, evenals Firefox OS werden getroffen door de gebreken omdat ze een gevorkte versie van Stagefright gebruikten. Mozilla loste de problemen op in Firefox 38, uitgebracht in mei.

Drake is van plan om meer details over de kwetsbaarheden te presenteren, samen met proof-of-concept exploit-code op de Black Hat Security-conferentie op 5 augustus.