Stagefright, en multimedia-bibliotek i Android 2,2 och högre, har utnyttjats igen, enligt rapporter nyheter publicerade i förra veckan.
Zimperium förra året rapporterade en Stagefright att utnyttja det sa utsatt 95 procent av Android-enheter. Google ingår en lapp Zimperium som skapats för att utnyttja i sin kod förråd.
Information om de senaste utnyttja, som heter “Metafor,” publicerades tidigare denna månad i en uppsats från NorthBit.
Metafor påverkar Android 2.2-4.0 och 5.0-5.1.
Det fungerar till ungefär 30 procent av alla Android-enheter, enligt
Statista.
Det förbi address space layout randomisering, eller ASLR, som Google hade infört som en säkerhetsåtgärd.
“Den ursprungliga Stagefright sårbarhet information visade oss att ja, det finns problem med detta bibliotek”, konstaterade Andrew Blaich, leda säkerhetspolitisk analytiker på
Bluebox Säkerhet.
“Metafor bekräftar detta problem är verkliga och använder röjas sårbarheter och forskning för att producera en verklig attack som påverkar Android-användare”, sa han till LinuxInsider.
Vad Gör Metafor
Metafor i huvudsak handlar om att analysera den tx3g atom i MPEG-4-filer, som används för att bädda in undertexter i media.
Det skapar grunden en heap overflow och kontroller högen storlek-hur mycket att skriva i buffert — och data — vad jag ska skriva. Det förutspår där dess objekt kommer att fördelas genom att försiktigt forma högen.
Det består av följande moduler:
- Krasch, som genererar en liten och generiska media-fil, kraschar mediaserver för att återställa dess tillstånd, och kontrollerar förekomst av sårbarhet när automatisera tester och bygga lookup-tabeller;
- RCE, som genererar en enhet-anpassade media fil verkställande shellcode i mediaserver och får runtime-ASLR bild som parameter och översätter gadget förskjutningar till absoluta adresser;
- Läcka, vilket genererar en enhet-anpassade media-fil för att läcka minne från mediaserver processen.
Dock Läcka stöds inte på Chrome innan version 19 och fungerar inte på Samsung är SBrowser, även om NorthBit har inte listat ut varför.
Ytterligare, Metafor kräver att angriparen har vissa förkunskaper om offrets enhet, NorthBit sagt.
Att bygga en universell utnyttja kräver att skapa en uppslagstabell för varje SKIVA, och det kan fortfarande vara nödvändigt att höja privilegier mediaserver process som olika leverantörer ger mediaserver och dess grupper med olika behörigheter.
Fortfarande, med att bygga lookup-tabeller för varje SKIVA är ett litet hinder mot att uppnå en mainstream-malware kapacitet, konstaterade säger Jason Haddix, chef för teknisk verksamhet vid
Bugcrowd.
Hur Många Är i Riskzonen?
Cirka 235 miljoner människor är i riskzonen, han berättade LinuxInsider.
Dessa är uppskattningar baserade på enheten försäljning och bör tas med en nypa salt”, Haddix sagt, men “en mycket stor andel av människor är föremål för denna attack. Med fjärrkontrollen utnyttjande möjligt och ett sätt att kringgå den starkaste säkerheten — ASLR i detta fall — det är en mycket stor affär.”
Å andra sidan, ASLR “inte har så mycket slumpmässighet som de flesta människor skulle vilja, vilket gör det till en låg hindret för angripare att komma förbi,” Bluebox Säkerhet är Blaich påpekade.
Android-enheter lagas i oktober eller senare är skyddad på grund av den fixa utfärdade Google, Googles talesperson berättade LinuxInsider i ett uttalande från företagets Aron Stein.
Det var för det första fel — CVE-2015-3864-och det måste omarbetas på grund av att det inte fungerar som avsett.
“Google fortsätter att granska och patch Stagefright och dess relaterade bibliotek varje månad med sina månatliga säkerhetsuppdateringar,” Blaich påpekade. “Men, den stora majoriteten av Android-enheter kvar okorrigerad för att dessa åtgärdas.”
Transportörer och hårdvarutillverkare att försena lanseringen av en patch betydligt eftersom de testa patchar innan du släpper dem till konsumenter.
Även om Google ersätter eller översyn Stagefright, Haddix anmärkte, “det är svårt att tvinga enhetens tillverkare för att tvinga uppgraderingar för alla utom de nyaste mobiltelefonerna.
Richard Adhikari har skrivit om high-tech för ledande publikationer i industrin sedan 1990-talet och undrar om det hela leder till. Kommer inopererade RFID-chip i människor vara Vilddjurets Märke? Kommer nanotekniken att lösa våra kommande livsmedelskris? Gör Sturgeons Lag håller fortfarande sant? Du kan ansluta med Richard på
Google+.