11 октября 2015

Беседка №59. Stagefright как первый всадник апокалипсиса Android

Уязвимость Stagefright оказалась серьёзней, чем предполагалось. Анализ действий Google и производителей, пример Windows — в этом довольно объёмном выпуске Беседки.

android-malware-pit2

С безопасностью Android на сегодняшний день всё далеко не так благополучно и пока что нет никаких признаков движения по разрешению проблемы. Экосистема не справляется с поддержанием безопасности и дело сдвинется с мертвой точки лишь тогда, когда будет слишком поздно.

Изначально Android задумывался как массовая платформа. Google начали с чистого листа, не имея никакой доли рынка, поэтому компания была только рада предоставить всем желающим возможность изменять ОС по своему желанию в обмен на её распространение на устройствах производителей. Маркетинговая подача не отличалась изобретательностью: «Apple ограничивают вас одним устройством (iPhone), для Microsoft вы всего лишь клиент, но в случае Android определять, каким будет конечное устройство будете вы». Открытый код Android позволял любому адаптировать ОС под конкретное аппаратное обеспечение, и у OEM-производителей и операторов имелась теоретическая возможность изменять Android или создавать форки так, как им заблагорассудится.

Сейчас Android занимает 75-80% мирового рынка смартфонов и это делает её самой популярной ОС в мире не только на данный момент, но и за всю историю индустрии мобильной электроники. В связи с этим остро ставится вопрос безопасности. Android до сих пор использует ту последовательность обновлений ПО, которая была разработана в то время, когда в экосистеме толком было нечего обновлять и которая толком не работает. Слишком много действующих лиц: Google выпускает Android для OEM-производителей, они вносят свои изменения и выпускают код для операторов, которые также способны изменять части ПО и уже затем происходит выпуск коммерческого продукта.

Virus-Smartphone-Android

Как можно видеть, задуманная схема уже давно непригодна. И реакция экосистемы на уязвимость Stagefright является лишним подтверждением тому, насколько плачевна ситуация. По предварительным оценкам около 95% устройств на базе Android содержат баг, позволяющий исполнять удаленный произвольный код по получению зараженного ММС с видео. Android имеет различные механизмы защиты от потери контроля над вашим смартфоном, но тем не менее становится страшно. Как следовало ожидать, Google, Samsung и LG заявили о скорейшем выпуске обновления политики безопасности своих устройств в рамках инициативы «Take Security Seriously». Этот «патч» закроет уязвимость на 2.6% активных Android-устройств, это максимум того, чего они смогут добиться. Процент представляет собой количество аппаратов на базе версии 5.1 (на момент написания статьи, начало августа, сейчас эта цифра составляет 7.9%) и является лишь смелым предположением для топовых и поддерживаемых Android-устройств на рынке. В реальности количество устройств, которые получат патч будет гораздо ниже.

Даже принимая во внимание возможную активизацию вендоров и устранение уязвимости на всех аппаратах с Android 5.1, то останется еще 92.4% устройств, подверженных Stagefright. Стратегия постепенного обновления Android даже отдаленно не напоминает что-то пригодное для ОС с двадцатью четырьмя тысячами (!) индивидуальных моделей активных устройств. В идеальном мире неспособность обновления миллионов потенциально подверженных взлому устройств стала бы достаточным основанием для Google, OEM-производителей и операторов связи для того ,чтобы сесть за общий стол переговоров, отложить свои брендоориентированные стандарты и навязанные отделом маркетинга различия и сказать: «Мы сможем всё исправить». Но, к сожалению, это — утопия. В реальном мире операторы и производители хотят иметь в Android свои инструменты для кастомизации, чтобы была возможность рекламировать свои приложения. Кажется, что никому не хочется брать на себя ответственность по послепродажной поддержке миллионов создаваемых и продаваемых устройств.

На определенном этапе ознакомления с проблемой кажется, что для безопасности Android неизбежно придет судный день, как это было с червём Blaster, и именно он станет тем стимулом для реальных действий по решению проблемы. Stagefright — это не шутки, и ответные меры экосистемы Android составляют лишь 2.6/100 от необходимого ответа.

Взгляд в сторону Windows

Все любят сравнивать Android и iOS, но такое сравнение не совсем справедливо, учитывая тот факт, что и ПО, и аппаратное обеспечение iOS принадлежит одной и той же компании. Более пригодной для сравнения моделью успешного выпуска патчей может стать Microsoft Windows. Система очень похожа на Android в части разнообразия «железа», широкой поддержки производителями и повсеместным распространением. Microsoft обладает централизованной системой обновлений и ОС, в основу которой не имеют права вмешиваться ни поставщики услуг, ни производители. По причине того, что поддержка железа отделена от операционной системы и никто не имеет права вносить в ОС какие-либо изменения, у Microsoft есть единая кодовая база для обновления каждой версии Windows, в этом и заключается зрелый подход к осуществлению обновлений. Такая система быстрого обновления на протяжении многих лет выдерживает постоянные атаки на безопасность и в этом плане Windows коренным образом отличается от Android.

Полностью закрытый характер обновлений не сработает для Android, этого «джина» в «бутылку» обратно уже не спрятать, однако для устранения текущей угрозы безопасности производителям и операторам необходимо согласиться с меньшим уровнем доступа к системе. Операторы должны иметь ограниченный уровень к пользовательским приложениям, как и поставщики услуг на ПК. Производители в дополнение к предыдущему ограничению должны иметь доступ к системе изменения интерфейса или смене скинов, что позволило бы им осуществлять так любимое ими брендирование интерфейса без затрагивания основной ОС.

Не всё гладко и с «железом». Android не имеет того уровня аппаратной абстракции как у x86, где драйверы для аппаратного обеспечения могут существовать отдельно от ОС. ARM и Android всё еще работают над моделью встроенной ОС, где общие драйверы устройств отсутствуют. Такая модель сделает поддержку каждого обновления каждого устройства нелегкой задачей и скорее всего здесь потребуется поддержка от Linux и ARM.

Также, необходимо твёрдо разубедить производителей в их идее о двухгодичном цикле обновления смартфонов для среднестатистических пользователей. Согласно исследованию фрагментации Android компании Open Signal в 2015 году самым популярным устройством Samsung является модель трехлетней давности Galaxy S III, а из 10 самых популярных устройств компании 6 аппаратов были выпущены больше двух лет назад, 2 не являются флагманами и не будут обновляться до новейшей версии ОС. Жестокая реальность заключается в том, что производители и операторы поддерживают лишь те устройства, которые находятся в продаже, отсюда и вырисовывается двухлетний план обновления. Samsung поспешит закрыть уязвимость на S6, однако, по данным вышеупомянутого исследования смартфон лишь 13 в рейтинге. Для реальной защиты пользователей компании нужно выпустить обновления для Galaxy S III, S4 и более дешевых устройств, например Galaxy Grand Prime. Из 10 устройств в топе патч был выпущен лишь для одного, Galaxy S5, который (сюрприз, сюрприз) всё еще в продаже.

Microsoft, напротив, до сих пор выпускает обновления безопасности для всех версий Windows начиная с Vista, что составляет около 86% пользователей. Оставшиеся пользователи пользуются XP, для которой Microsoft всё еще предлагает платные обновления безопасности после бесплатного продления поддержки на два года. 8 лет для смартфонов это, возможно, слегка чересчур, в конце концов, 8 лет назад об Android мало кто знал, но нет ничего предосудительного в том, чтобы стремиться к тому, чтобы обновить политику безопасности 85% устройств.

У участников экосистемы Android отсутствует какое-либо твердое мнение по поводу того, как безопасность может навредить другие ответвления бизнеса компаний. Google и Samsung пытаются выйти на корпоративный рынок (Android for Work, Knox), но репутация Android в части безопасности может сыграть злую шутку над обеими платформами. Корпорациям будет сложно принимать Android всерьёз, когда ОС постоянно «светится» в новостях, связанных с уязвимостями.

Впереди — тернистый путь

Без какого-либо реального решения проблемы компании просто лепят «заплатки» на найденные «дыры». Тестовая среда приложений Android обещает защитить от эксплойтов, «крепость» Play Store оградит пользователей от зараженных приложений, операторы вовсю работают над блокировкой зараженных Stagefright MMC-сообщений. Google в свою очередь будет выпускать всё новые компоненты для Сервисов Google Play, но всё же для некоторых аспектов будет требоваться обновление по воздуху.

stagefright-2.0-800x420

В экосистеме Android слишком редко проявляется интерес к мнению пользователя, чтобы ожидать немедленного решения проблемы Stagefright. Операторы и производители не хотят вставать на сторону пользователей и эта эгоистичная позиция пока не встретила никаких ответных действий. Но последствия не за горами. Когда всё же грянет «судный день», то пользователям будет глубоко наплевать на ограничение по выпуску патча для флагмана двухлетней давности, если их устройство перестанет работать или будет украдена информация.

Вот что нам рассказал представитель Google, к которому мы обратились за комментариями по теме материала:

  • На данный момент в 90% устройств на базе Android работает технология ASLR, которая сможет защитить от проблемы
  • Мы выпустили патч для линейки Nexus и отправили его партнерам для защиты пользователей. Также, мы планируем выложить его в открытый доступ.
  • В следующую версию Messenger будет включен патч, который поможет устранить угрозу на уровне приложений. После обновления пользователю нужно будет нажимать на видео для воспроизведения. Мы рекомендуем пользователям устройств с версиями Android Jellybean и выше переключиться с используемого ими СМС-приложения по умолчанию на наш продукт.
  • В августе выйдет патч для самых популярных Android-устройств:
    • Samsung Galaxy S6 Galaxy S6 Edge, Galaxy S5, Galaxy S4, Galaxy S3,
      Note 4, Note 4 Edge
    • HTC One M7, One M8, One M9
    • LG Electronics G2, G3, G4
    • Sony Xperia Z2, Xperia Z3, Xperia Z4, Xperia Z3 Compact
    • Android One

Основная проблема в том, что обновления флагманов недостаточно для того, чтобы обезопасить большую часть пользователей, а решения для остальных устройств пока нет. Модель обновления Android не работает, и чтобы перестроить её, нужно начинать с чистого листа. Есть идеи?

Оригинальный материал, автор Рон Амадео.

Elir: Стрелка смартчасов судного дня Android сдвинулась ближе к полуночи, по крайней мере так выглядит ситуация. Google выпускает патчи, производители пытаются закрыть уязвимость своими силами, операторы в меру сил принимают меры, но масштаб событий настолько огромен, что эти действия неубедительны. Тем более, в контексте последних новостей о том, что новая «версия» Stagefright теперь атакует смартфоны посредством воспроизведения зараженных MP3-файлов. Причин для паники как таковых пока нет, если вы не используете незащищенные клиенты для обмена сообщениями и не скачиваете программы из непроверенных источников. Однако, бездействие компаний, которые в первую очередь должны бить тревогу, несколько настораживает. Будем следить за новостями. 

Читайте также

  • Filipp

    ну так, чистый андроид есть только на ограниченном числе гугловских аппаратов
    именно их нужно сравнивать с iOS по части обновлений и т.д.
    за обновлением и безопасностью форков андроид стоят их производители, всё честно
    возьмём Xiaomi mi4 — на него можно поставить Miui на Android 4.4, а можно — абсолютно рабочий Android 5.1. Каждый выбирает сам.

  • Alexandr.Noskov

    MP3? Ммм, какая прелесть! Вот поневоле радует рост грамотности отдельных индивидов, какая смекалка! Какая выдумка! Следующим шагом должно стать заражение через входящий звонок. Если поднять трубку от неизвестного номера, вирус начнет внедряться….

  • Vombatus Dobreyshiy

    С нетерпением жду в комментариях рассказов пострадавших от этого Stagefright. Уже какой месяц истерика в прессе, а массового заражения смартфонов чего то не видать.

  • Vombatus Dobreyshiy

    «MP3? Ммм, какая прелесть!»

    Небось опять страшилка, кем то запущенная. :))
    Присылают файл ukupnik.mp3.apk, а и люди его воспроизвести пытаются….

  • Тарас Мукин

    Один баг не такая уж проблема. Даже если баг настолько серьезный. Вспомните Heartbleed. Подвержены оказались тьмы девайсов, которые в принципе не принято обновлять — например те же роутеры. И не то чтобы баг сейчас эксплуатировался in the wild очень активно, иначе бы отчеты от разных антивирусных лабораторий были. Так что думаю, что конкретно этот один баг проблемой не станет.

    Однако «апокаллипсис андроида» ожидать, наверное, все же стоит. Потому что надоел он уже, скажем честно, как бы ни был хорош. И iOS надоела, и все десктопные оси надоели. Очень надеюсь, что в ближайшем будущем нас ждет какой-то очень сильный (не обязательно мгновенный) поворот на рынке и все станет иначе. Просто ради борьбы с застоем

  • Александр Февралёв

    Насколько эффективен будет антивирус в случае со stagefright? У меня стоит купленный мной Pc-cillin security, программы устанавливаю только из play market и сомнительные файлы не открываю. телефон Galsxy S5.

  • Wanderlood

    Насколько я помню, Messenger не поддерживал работу двух сим карт

  • Vladimir Aleksandrov

    На Верту патч тоже не выйдет? Прекрасно.

  • GN

    «Android имеет различные механизмы защиты от потери контроля над вашим смартфоном, но тем не менее становиться страшно.» Кем становиться страшно, грамотно пишущим человеком? Напрасно, журналисту этого вовсе не стоит бояться.

  • Vombatus Dobreyshiy

    «Насколько эффективен будет антивирус в случае со stagefright?»

    Настолько же, насколько эффективен анальгин от марсианского гриппа. Вирусов в наличии нет, испытать невозможно :))

  • Ilya Subbotin

    Спасибо, исправил. И, да, я — не журналист. Так что не могу по достоинству оценить Ваш сарказм.

  • Ilya Subbotin

    На S5 обещают патч.

  • Lazy Inventor

    Мне привиделось или сравнение яблокооси и ведроида велось с десктопной виндой? Не знаю какова вероятность просачивания «плохих» программ в маркет выньфона, но поскольку это тот самый «неуловимы Джо», то можно не бояться подхватить бяку 🙂 Собственно этим я и пользуюсь- смарт на выньфоне, а десктоп на линуксе. 100% функциональные оси на которые кулхацкерам лень писать вирусы. Одним головняком меньше для юзера 🙂

  • Zee

    Мне пришла заплатка на HTC One M7 GPE. Stagefright detector сказал, что все норм )))

  • Алексей

    Наверное, Вы не в курсе про заражение десктопов через PDF на сайте. Открываете зараженный сайт своим любимым браузером, сайт редиректит на некий PDF, который браузер пытается открыть по умолчанию либо во встроенном вьювере, либо во внешнем. А PDF не простая, а содержит некую последовательность, благодаря которой вьювер получает переполнение стека. И вот уже часть этого самого PDF, который является данными, находится в области памяти для исполняемого кода. Профит!
    Полагаю, что у Stagefright схожий механизм — проигрыватель неадекватно реагирует на определенные данные в mp3/mp4, что приводит к выполнению кода, зашитого внутрь этого самого mp3/mp4

  • romanlt

    Если бы так.
    Присылают файл metallica.mp3 внутри MMSки, причем он таки да — исполняемый, а не музыка.
    Но вот открывать его не требуется — система приема сообщений всё сделает сама, в этом и глюк.
    Файл запускается без ведома и без участия пользователя. Затем MMSка бесследно удаляется (только в детализации видно).

    Правда он запускается в ограниченной области Android — из которой он может получать доступ к медиахранилищу, а также к медиасредствам системы (микрофон, камера, динамики). Но не может иметь доступа к телефонной части, к ядру, др.
    Поэтому максимум ущерба, который может нанести вирус — удалить ваши фотки/видео/музыку. (Еще можно записать ваши звуки в туалете, потом их проиграть в ресторане — но это ущерб нематериальный).
    Именно поэтому мы не наблюдаем массового распространения вируса. Вирусописатели работают над тем, что деньги приносит — вроде доения банковской карточки через автоплатеж.

  • Роман Кедров

    на асус прилетел патч неделю или две назад)
    но сначала обновился Смс клиент в котором автозагрузку ммс включать надо было принудительно)

  • Омич

    Использую точно такую же связку, чем вызываю разрыв шаблона у виндузятников, да и линуксоидов.

  • ччяч

    >>Но вот открывать его не требуется — система приема сообщений всё сделает сама, в этом и глюк.

    Даже если отключен автоматический прием ммс в настройках?

    >>Присылают файл metallica.mp3 внутри MMSки, причем он таки да — исполняемый, а не музыка.
    Вы это сами ловили на свой телефон? Каковы результаты воздействия?

  • ччяч

    >>Android не имеет того уровня аппаратной абстракции как у x86, где драйверы для аппаратного обеспечения могут существовать отдельно от ОС

    Что правда? Синий экран при установке не того драйвера конечно появляется не от высокого уровня аппаратной абстракции?

    >>Такая система быстрого обновления на протяжении многих лет выдерживает постоянные атаки на безопасность и в этом плане Windows коренным образом отличается от Android.

    Заходим на любой форум по антивирусной защиты и внимательно читаем жалобные посты пользователей с темами «поймал вирус на винде»…

  • Анатолий Jlogblpb

    А кто вообще пользуется ммс сообщениями? Лично я пару раз воспользовался когда они только появились, еще на 40 ой платформе. Потом настроил почту и забыл про это дорогое недоразумение.
    И из всех моих знакомых лишь один подключил безлимит и пользовался этой хренью, я ему долго объяснял что он поступает глупо! В итоге перевел его таки на мессенджеры и прочее

  • Фред-Продавец звёзд

    Пользователи Андроида бывают двух видов: те, кто делает бэкапы, и те, кто ещё не делает.

  • Andes

    Только вот беда-терял файлы от трояна-шифровальщика в Windows, или платил вымогателям за расшифровщик, или получал экран блокировщика, или доходил до переустановки системы из-за полной «затрояненности» и невозможности нормально работать-проактически каждый пользователь Windows. Не говоря о сущих мелочах, вроде кражи паролей от «асек»,»скайпов» до номеров кредиток.
    А про Андроид слышно только о тех «недалеких», кто умудрился отключить установку из сторонних источников в настройках, и упорно ставит «Оперы Мини»(с) .

    В принципе, скелет заметки правильный, проблема есть, только вот раздуто все это на уровне «желтой прессы». Что сильно не красит, да. «Судный день», «Катастрофа», «Трагедия системы»…. Или я перепутал сайты и читаю MK.ru?

  • ччяч

    Бэкапы чего? Контакты, смс, заметки бекапятся по умолчанию. Фотографии любимых кошечек к потерям юзеры индифферентны, а если так важно-сливают в гуглодрайв или подобные облака. Что еще?-настройки приложений?

  • Nozzy Nostrill

    Сами Дообрые, небось, виря и забацали, чтобы потихоньку с вольницей на ведерке закончить

  • Alexandr.Noskov

    Это не был сарказм, действительно восхитился умом вирусоизобретателей.

  • Михаил

    Статья-то переводная. Для европейско-заокеанских авторов характерен такой гиперболизированный стиль.

  • RomikB

    Лично получил себе на телефон 5 ммс, одна из них обработалась с ошибкой и не удалилась сама, только поэтому узнал что они вообще были (в детализации 5 штук на телефоне одна). На всякий случай сделал сброс телефона, надеюсь это помогло и никто не успел прописаться в телефоне системным процессом.

  • Ушелец

    Цитата: «С безопасностью Android на сегодняшний день всё далеко не так благополучно…»

    А что такое «далеко не так благополучно»? Что означает сия странная фраза?

  • Vombatus Dobreyshiy

    «На всякий случай сделал сброс телефона»

    То есть, вы прочитали страшилку в интернете, и теперь после каждой битой MMS телефон сбрасывать будете? :))

  • Виктория Панова

    Август у Сони затянулся…

  • RomikB

    Если оператор говорит что прислал мне 5 ммс, а в телефоне я вижу только одну, то где остальные 4?

  • Vombatus Dobreyshiy

    «то где остальные 4?»

    Думаю, что нигде :)) Скорее всего это была одна и та же ммс-ка.

  • RomikB

    Была бы одна, они шли бы сразу друг за другом, а не с разницей между собой в 5-6 минут?

  • Buzzdoy

    Последнее обновление на Note4 было где-то в августе, на Android 5.1.1. Но я с вирусами на этой системе не сталкивался ни разу. А вот друзьям пару раз чистил девайсы от разной гадости.

  • ragnwald86

    Многобукафф. Ниасилил.

    Андройдукапец?

  • GreLI

    Угу, только ловят эти трояны те, кто сидят на пиратской винде «зверской» сборки без обновлений через старую версию браузера со старым флешем.

    Подхватить что-то на регулярно обновляющуюся винду с антивирусом и нормальным браузером уже гораздо сложнее.

  • ччяч

    шифраторы легко плюют на все антивирусы и обновления и с легкостью заставят вас рвать волосы на голове из за отсутствия бекапов.

  • 0beR

    бред какой то,ИМХО. все это из разряда «палки,которая раз в год стреляет». кому это все надо? если обнаружили возможность,это не значит,что завтра же все смарты на Андроид будут заражены. Знать не знал об этой угрозе,после прочтения статьи полез гуглить интернеты ради собственного развития. вроде как чтоб в теме быть. и что я вижу? просто беспочвенная истерика. Вы как хотите,а лично я очень даже сомневаюсь,что кому то есть дело до моей медиатеки на смарте.

  • Catfelix

    Бекап системы через кастомное рекавери, умник вы наш.

  • Ilya Subbotin

    Почитайте про Kemoge, тоже неплохо там всё.

  • vasia6969

    Кто то ещё пользуется MMSами? ))

  • RomikB

    Никто не мешает их прислать, т.к. по умолчанию они везде включены (и у оператора и в смартфоне).

  • romanlt

    не ловил — у меня симбиан 🙂

  • aWARec

    ммс последний получал от мегафона год назад

  • AK

    Надо было телефон об асфальт треснуть на всякий пожарный.

  • RomikB

    Очень интересным способом вы решаете свои проблемы.

  • Ушелец

    А в школе вы учились?
    Правила- простейшие….

  • Ilya Subbotin

    Не спорю. Автокоррект подводит иногда, к сожалению.

  • гость

    да ещё винмобайл так же убитая потому что была расчитана на гиков как win xp, а как извесно гики не источник профита

  • ччяч

    накуя? чтобы не настраивать лаунчер и пару приложений?