目次:
- Stagefrightとは何ですか?
- 8月17〜18日:エクスプロイトは残っていますか?
- 8月5日の新しいStagefrightの詳細
- 誰がこのエクスプロイトを見つけましたか?
- このエクスプロイトはどの程度広がっていますか?
- だから、Stagefrightを心配するべきかどうか?
- Stagefrightを修正するアップデートについてはどうですか?
2015年7月、セキュリティ会社Zimperiumは、Androidオペレーティングシステム内の脆弱性の「ユニコーン」を発見したと発表しました。 詳細については、8月初旬のBlackHatカンファレンスで公開されましたが、ユーザーが気付かないうちに10億台近くのAndroidデバイスが乗っ取られる可能性があることを宣言する前にではありませんでした。
それでは、「ステージ恐怖」とは何ですか? そして、あなたはそれを心配する必要がありますか?
より多くの情報がリリースされると、この投稿を継続的に更新しています。 ここに私たちが知っていること、そしてあなたが知る必要があるものがあります。
Stagefrightとは何ですか?
「Stagefright」は、Androidオペレーティングシステム自体のかなり奥深くに潜む潜在的なエクスプロイトに付けられたニックネームです。 要点は、MMS(テキストメッセージ)を介して送信されたビデオが、 libStageFright メカニズム(つまり、「Stagefright」の名前)を介した攻撃の手段として理論的に使用できることです。 多くのテキストメッセージングアプリ(特にGoogleのハングアウトアプリ)は、そのビデオを自動的に処理するため、メッセージを開くとすぐに視聴できるようになり、理論的には知らなくても攻撃が行われる可能性があります。
libStageFright はAndroid 2.2にまでさかのぼるため、何億もの携帯電話にこの欠陥のあるライブラリが含まれています。
8月17〜18日:エクスプロイトは残っていますか?
GoogleがNexus製品ラインのアップデートを開始し始めたとき、エクソダス社は、少なくとも1つのエクスプロイトがパッチ未適用のままであり、Googleがコードを台無しにしたことを暗示するブログ投稿を公開しました。 英国の出版物 The Register は、次の修正が9月のセキュリティ更新で行われるとRapid7のエンジニアを引用しています。これは、新しい月次セキュリティパッチプロセスの一部です。
Googleは、この最新の主張についてはまだ公に対処していません。
これに関する詳細がないため、最悪の場合、私たちは始めたところに戻ったと信じています。libStageFightには欠陥がありますが、デバイスの可能性を軽減する他のセキュリティ層があると信じています。実際に悪用されています。
8月18日。トレンドマイクロは、libStageFrightの別の欠陥に関するブログ投稿を公開しました。 このエクスプロイトが実際に使用されているという証拠はなく、Googleは8月1日にAndroid Open Source Projectにパッチを公開したという。
8月5日の新しいStagefrightの詳細
Stagefrightの脆弱性の詳細が公表されたラスベガスでのBlackHat会議と併せて、GoogleはAndroidセキュリティの主任エンジニアであるAdrian LudwigがNPRに「現在、Androidデバイスの90% ASLRと呼ばれるこの機能は、ユーザーを問題から保護します。」
これは、私たちが読んだ「9億台のAndroidデバイスは脆弱です」という行とはかなり対立しています。 言葉の争いや数字を巡る戦いの真っinto中に入ることはありませんが、Ludwigが言っているのは、Android 4.0以上を実行しているデバイス(Googleサービスを備えたすべてのアクティブなデバイスの約95%)に対する保護ですバッファオーバーフロー攻撃が組み込まれています。
ASLR( A ddress S Pace L ayout R andomization)は、攻撃者がプロセスのメモリアドレススペースをランダムに配置することにより、攻撃しようとする機能を確実に見つけられないようにする方法です。 ASLRは、2005年6月からデフォルトのLinuxカーネルで有効にされており、バージョン4.0(Ice Cream Sandwich)でAndroidに追加されました。
一口はどうですか?
つまり、実行中のプログラムまたはサービスの重要な領域が毎回RAMの同じ場所に配置されるわけではありません。 ランダムに物事をメモリに入れるということは、攻撃者が悪用したいデータを探す場所を推測しなければならないことを意味します。
これは完全な修正ではなく、一般的な保護メカニズムは優れていますが、既知のエクスプロイトが発生した場合には、それに対する直接のパッチが必要です。 Google、Samsung(1)、(2)、Alcatelはstagefrightの直接パッチを発表しており、Sony、HTC、LGは8月に更新パッチをリリースすると発表しています。
誰がこのエクスプロイトを見つけましたか?
この脆弱性は、BlackHatカンファレンスでの年次パーティーの発表の一環として、モバイルセキュリティ会社Zimperiumによって7月21日に発表されました。 はい、あなたはその権利を読みます。 Zimperiumによると、この「すべてのAndroidの脆弱性の母」は、7月21日(だれかが気にすることを決定する1週間前)に発表され、「8月6日の夕方、Zimperiumはベガスパーティーシーンを揺るがせ!」 そして、あなたはそれが「私たちのお気に入りの忍者のための私たちの毎年恒例のベガスパーティー」であり、完全にロッキンハッシュタグとすべてであるので、レイガーになるだろうことを知っています。
このエクスプロイトはどの程度広がっていますか?
繰り返しますが、 libStageFright ライブラリ自体に欠陥があるデバイスの数は、OS自体にあるため非常に膨大です。 しかし、Googleが何度も指摘しているように、デバイスを保護する他の方法があります。 レイヤーのセキュリティと考えてください。
だから、Stagefrightを心配するべきかどうか?
良いニュースは、Stagefrightでこの欠陥を発見した研究者は、「野生のハッカーがそれを悪用しているとは思わない」ということです。 少なくともこの一人によると、明らかに誰も実際に誰に対しても使用していないことは非常に悪いことです。 また、Android 4.0以上を使用していれば、おそらく大丈夫だとGoogleが言います。
だからといって、悪用される可能性があるわけではありません。 そうです。 さらに、メーカーとキャリアのエコシステムを通じて更新をプッシュすることの難しさをさらに強調しています。 一方、Android 2.2以降、または基本的に過去5年間に明らかになったのは、悪用の潜在的な手段です。 それはあなたの視点に応じて、時を刻む時限爆弾、または良性嚢胞のいずれかになります。
また、7月にGoogleは Android Central に対して、ユーザーを保護するためのメカニズムが複数あることを繰り返しました。
ジョシュア・ドレイクの貢献に感謝します。 Androidユーザーのセキュリティは非常に重要であるため、迅速に対応し、あらゆるデバイスに適用できるパートナーにパッチが既に提供されています。
すべての新しいデバイスを含むほとんどのAndroidデバイスには、悪用をより困難にするために設計された複数のテクノロジーがあります。 Androidデバイスには、デバイス上のユーザーデータやその他のアプリケーションを保護するために設計されたアプリケーションサンドボックスも含まれています。
Stagefrightを修正するアップデートについてはどうですか?
これに真にパッチを適用するには、システムの更新が必要になります。 8月12日のセキュリティ情報の新しい「Androidセキュリティグループ」で、Googleは最後から詳細を説明する「Nexusセキュリティ情報」を発行しました。 複数のCVE(Common Vulnerabilities and Exposures)の詳細があります。これには、パートナーに通知された時期(4月10日など)、Androidの機能修正のビルド(Android 5.1.1、ビルドLMY48I)およびその他の軽減要因(前述のASLRメモリスキーム)。
Googleはまた、「メディアが自動的にmediaserverプロセスに渡されないように」バックグラウンドでビデオメッセージを自動的に処理しないように、ハングアウトおよびメッセンジャーアプリを更新したと述べました。
悪いニュースは、ほとんどの人がシステムのアップデートを出すためにメーカーとキャリアを待たなければならないことです。 しかし、繰り返しますが、9億台の脆弱な電話のような話をしている一方で、悪用の既知の事例は ゼロ です。 それらはかなり良いオッズです。
HTCは、今後のアップデートには修正が含まれると述べています。 そして、CyanogenModも同様にそれらを組み込んでいます。
モトローラは、Moto Eから最新のMoto X(およびその間のすべて)までのすべての現行世代の携帯電話にパッチが適用され、コードは8月10日からキャリアに送られると言います。
Googleは8月5日に、Nexus 4、Nexus 5、Nexus 6、Nexus 7、Nexus 9、Nexus 10の新しいシステムイメージをリリースしました。また、NexusラインのNexusラインのセキュリティアップデートを毎月リリースすると発表しました。 (2番目に公開されたM Previewビルドは、すでにパッチが適用されているようです。)
また、Stagefrightエクスプロイトを名前で命名しなかったが、Googleの以前のGoogleのAdrian Ludwigは、既にエクスプロイトとセキュリティ全般に取り組んでおり、ユーザーを保護する複数のレイヤーを思い出させました。 彼は書く:
ソフトウェアのバグはすべてセキュリティ上の悪用になりかねないという一般的な誤った仮定があります。 実際、ほとんどのバグは悪用可能ではなく、Androidはこれらの確率を改善するために多くのことを行っています。 過去4年間、1種類のバグ(メモリ破損バグ)に焦点を当てたテクノロジーに重点的に投資し、それらのバグを悪用するのを困難にしようとしてきました。
