Egy megfelelően összerakott multimédiás üzenet (MMS) elég a legtöbb androidos okostelefon meghekkeléséhez, elég hozzá ismerni az áldozat telefonszámát – állítják egy mobil biztonsági cég, a Zimperium kutatói. A sebezhetőségeket a Stagefright nevű Android-komponensben találták, amelyet a multimédiás fájlok feldolgozására, lejátszására vagy felvételére használnak. A most felfedezett hibák azonban lehetővé teszik a távoli parancsok futtatását (RCE) is, amihez ráadásul elég elküldeni egy MMS üzenetet, esetleg böngészőből letölteni egy preparált videót vagy egyszerűen csak megnyitni a megfelelő tartalmat beágyazó oldalakat.

Egy MMS kell a majdnem tökéletes bűntényhez

A számtalan lehetőségben az a közös, hogy az Android rendszerre érkező multimédiás anyagok mindenképpen kapcsolatba kerülnek a frameworkkel, és nem csak lejátszáskor. Ez a könyvtár generálja ugyanis a thumbnaileket, vagy bontja ki az olyan metaadatokat, mint amilyen a  hosszúság, a képméret vagy a lejátszási sebesség. Vagyis nem kell szükségszerűen megnyitni a kártékony tartalmakat, elég azokat bemásolni a fájlrendszerbe. Éppen ezért az MMS a legijesztőbb támadási vektor, hiszen ebben az esetben semmilyen felhasználói interakcióra nincs szükség: elég, hogy a rosszindulatú kódot tartalmazó üzenet megérkezzen a telefonra.

A Zimperium szakemberei szerint így aztán az is lehetséges, hogy mondjuk éjszaka küldözgessék szét az MMS-eket, amikor sokan alszanak, vagy ébren vannak ugyan, de lehalkítják a telefonjukat. A fertőzést követően a malware segítségével magát a gyanús MMS-t is le lehet törölni, így a felhasználó soha nem jön rá, hogy megfertőzték a készülékét. A kutatók egyébként nem tudták megmondani, hogy az androidos alkalmazások mekkora része épül a Stagefrightra, de véleményük szerint minden olyan app, amelyik médiafájlokat is kezel, valamilyen módon úgyis kapcsolatban van a sebezhető komponenssel.

Az újabb rendszer most is nagyobb biztonságot jelent

A Zimperium nem csak a hibákat fedezte fel, de a javító patch-eket is elkészítette hozzá, amelyeket még április végén és május elején elküldött a Google-nek. A cég állítólag nagyon is komolyan vette a figyelmeztetést, és a javításokat 48 órán belül implementálta saját belső androidos kódbázisán, megosztva azt a készülékgyártó partnerekkel is.

Az Android-frissítések már ismert tempója azonban azt feltételezi, hogy a használatban lévő eszközök nagyjából 95 százaléka ebben a pillanatban is sebezhető – állítják a Zimperium szakemberei. A javítások egyelőre nem jelentek meg az Android Open Source Project (AOSP) részeként, így azok a gyártók sem férnek hozzá, amelyek nem állnak partneri viszonyban a Google-lel.

Még a Nexus vonalon is, amely egyébként gyorsabban jut a frissítésekhez, eddig csak a Nexus 6 kapta meg a szükséges javításokat. A sebezhetőségek ráadásul az Android 2.2 vagy annál magasabb verziószámú rendszerek mindegyikét érintik, így lesz egy jó csomó okostelefon, amelyre sohasem jutnak el a szükséges patch-ek.

A Zimperium szerint a sebezhetőség a jelenlegi androidos készülékek 20-50 százalékán lesz valaha is kijavítva, ahol az 50 százalékot már egy egészen optimista, valószerűtlen becslésnek nevezték. Az is változó, hogy a fertőzött eszközökön mire juthat a rosszindulatú kód. Állítólag az érintett telefonok felén a Stagefright framework a legmagasabb szintű jogosultságokkal működik. A többi készüléken nem lehet majd külső alkalmazásokat telepíteni vagy hozzáférni a belső adatokhoz, de a külső tárolóegységekhez, a kamerához vagy a mikrofonhoz már igen.

A sebezhetőséget a legfrissebb PrivatOS verzióban vagy a Stagefright forkolt változatát használó Mozilla kiadásokban már javították, a Zimperium pedig az augusztus eleji Black Hat Security konferencián további részleteket oszt meg a közönséggel. A Google vonatkozó közleményéről és a gyártók folyamatosan érkező reakcióiról érdemes ezt a cikket vagy a hasonló, folyamatosan frissülő csatornákat figyelni.