A Zipernium megtalálta a nyáron felfedezett Stagefright utódját. Akkor a kutatók azt feltételezték, hogy hiba a használatban lévő készülékek 95 százalékát veszélyezteti. És bár a cég el is készített egy javítást, amit a Google példás gyorsasággal implementált is, és szétküldte a gyártóknak. De az eset jól mutatta az Android-világ szegmentáltságának egyik nagy rákfenéjét: a Zimperium úgy becsülte – nyilván voltak ezen a téren tapasztalataik, hogy a sebezhetőség a jelenlegi androidos készülékek 20-50 százalékán lesz valaha is kijavítva. A feles arányt azonban a biztonsági cég is extrán optimista, lényegében valószerűtlen becslésnek nevezte.

Újabb két bug: 1 milliárd készülék

A Zipernium már a nyáron is utalt arra, hogy van ott más is, ahol a nagyon egyszerűen kihasználható MMS-es Stagefrightot találták: ezt Stagefright 2.0-nak nevezték: ugyanúgy multimédiás összetevőket érint mint a nyári sérülékenység, csak a mostani a hang- (MP3) és videofájlok feldolgozásával (MP4) függ össze. Az Android Security Teamnek augusztus közepén jeletették be a hibát, de egyelőre csak félmegoldás született.

Tegnap aztán ki is került a biztonsági rés ismertetője a cég blogjára. Azért csak most publikálták a két hibát, mert a Google mostanra készült el a javításokkal, bár azok egyelőre nincsenek telepíthető állapotban. Tehát a védekezés legfőbb eszköze egyelőre az éberség.

A kutatók becslése szerint legalább 1 milliárd készüléket veszélyeztet a hiba, azaz – ha elfogadjuk a Google-vezér mondását az 1,4 milliárd androidos készülékről – minden három készülékből kettő érintett.

A biztonsági cég szerint egyelpre nincs olyan exploit a piacon, amely a  Stagefright 2.0-t kihasználó kódot tartalmazna.

Az ős-Androidok is veszélyben vannak

Az első hiba a libutils összetevőben van, amely az Android 1.0-tól része a rendszernek, és a legújabb kiadásra is veszélyt jelent. A másik hiba, amely a libstagefright összetevőt érinti, csak az 5.0-s vagy újabb kiadásokat sodorja veszélybe. A hibák kihasználásával emelhető a jogosultsági szint, és lehetőséget adnak távoli kódfuttatásra. A támadók hozzáférhetnek az eszközökön tárolt adatokhoz, illetve állományokhoz, fényképeket vagy hangfelvételeket készíthetnek, betekintést nyerhetnek az elektronikus levelezésbe, és olvasgathatják az SMS/MMS üzeneteket.

A Stagefright 2.0 – akárcsak az MMS-es hiba – egyik nagy veszélyét az adja, hogy automatizált támadásokat tesz lehetővé. Arra épül ugyanis, hogy az üzenetekben elhelyezett multimédiás tartalmakat az Android automatikusan feldolgozta. Ebben az esetben a legfőbb veszélyforrás a mobil webböngésző, azaz a támadónak rá kell vennie a felhasználót, hogy látogasson meg egy olyan weboldalt, amely tartalmazza az exploit kódot. De a hiba kihasználható fertőzött mobil alkalmazásokkal (például a gyártók vagy szolgáltatók által előre telepített alkalmazásokkal, melyekkel szemben a felhasználó amúgy is kevésbé gyanakvó), sőt ún. közbeékelődéses támadásokat is végre lehet hajtani.

Rosszul dolgoztak a programozók?

A hiba ismét ráirányíthatja a figyelmet a fejlesztés biztonsági szempontjaira. A Zipernium szerint ugyanis az érintett összetevők amúgy is nagyon sérülékenyek, mert rengeteg kódolási hibát tartalmaznak. Az is a biztonsági rések kihasználását segíti, hogy a Stagefrightot C++ nyelven írták.

A Zimperium blogbejegyzésében is hangsúlyozta, hogy folyamatosan frissíti ingyenes Stagefright Detector alkalmazását, amely ha javítást nem is ad a hibára, a sérülékenységek detektálásában segít.