11 октября 2015
Беседка №59. Stagefright как первый всадник апокалипсиса Android
Илья Субботин
Уязвимость Stagefright оказалась серьёзней, чем предполагалось. Анализ действий Google и производителей, пример Windows — в этом довольно объёмном выпуске Беседки.
С безопасностью Android на сегодняшний день всё далеко не так благополучно и пока что нет никаких признаков движения по разрешению проблемы. Экосистема не справляется с поддержанием безопасности и дело сдвинется с мертвой точки лишь тогда, когда будет слишком поздно.
Изначально Android задумывался как массовая платформа. Google начали с чистого листа, не имея никакой доли рынка, поэтому компания была только рада предоставить всем желающим возможность изменять ОС по своему желанию в обмен на её распространение на устройствах производителей. Маркетинговая подача не отличалась изобретательностью: «Apple ограничивают вас одним устройством (iPhone), для Microsoft вы всего лишь клиент, но в случае Android определять, каким будет конечное устройство будете вы». Открытый код Android позволял любому адаптировать ОС под конкретное аппаратное обеспечение, и у OEM-производителей и операторов имелась теоретическая возможность изменять Android или создавать форки так, как им заблагорассудится.
Сейчас Android занимает 75-80% мирового рынка смартфонов и это делает её самой популярной ОС в мире не только на данный момент, но и за всю историю индустрии мобильной электроники. В связи с этим остро ставится вопрос безопасности. Android до сих пор использует ту последовательность обновлений ПО, которая была разработана в то время, когда в экосистеме толком было нечего обновлять и которая толком не работает. Слишком много действующих лиц: Google выпускает Android для OEM-производителей, они вносят свои изменения и выпускают код для операторов, которые также способны изменять части ПО и уже затем происходит выпуск коммерческого продукта.
Как можно видеть, задуманная схема уже давно непригодна. И реакция экосистемы на уязвимость Stagefright является лишним подтверждением тому, насколько плачевна ситуация. По предварительным оценкам около 95% устройств на базе Android содержат баг, позволяющий исполнять удаленный произвольный код по получению зараженного ММС с видео. Android имеет различные механизмы защиты от потери контроля над вашим смартфоном, но тем не менее становится страшно. Как следовало ожидать, Google, Samsung и LG заявили о скорейшем выпуске обновления политики безопасности своих устройств в рамках инициативы «Take Security Seriously». Этот «патч» закроет уязвимость на 2.6% активных Android-устройств, это максимум того, чего они смогут добиться. Процент представляет собой количество аппаратов на базе версии 5.1 (на момент написания статьи, начало августа, сейчас эта цифра составляет 7.9%) и является лишь смелым предположением для топовых и поддерживаемых Android-устройств на рынке. В реальности количество устройств, которые получат патч будет гораздо ниже.
Даже принимая во внимание возможную активизацию вендоров и устранение уязвимости на всех аппаратах с Android 5.1, то останется еще 92.4% устройств, подверженных Stagefright. Стратегия постепенного обновления Android даже отдаленно не напоминает что-то пригодное для ОС с двадцатью четырьмя тысячами (!) индивидуальных моделей активных устройств. В идеальном мире неспособность обновления миллионов потенциально подверженных взлому устройств стала бы достаточным основанием для Google, OEM-производителей и операторов связи для того ,чтобы сесть за общий стол переговоров, отложить свои брендоориентированные стандарты и навязанные отделом маркетинга различия и сказать: «Мы сможем всё исправить». Но, к сожалению, это — утопия. В реальном мире операторы и производители хотят иметь в Android свои инструменты для кастомизации, чтобы была возможность рекламировать свои приложения. Кажется, что никому не хочется брать на себя ответственность по послепродажной поддержке миллионов создаваемых и продаваемых устройств.
На определенном этапе ознакомления с проблемой кажется, что для безопасности Android неизбежно придет судный день, как это было с червём Blaster, и именно он станет тем стимулом для реальных действий по решению проблемы. Stagefright — это не шутки, и ответные меры экосистемы Android составляют лишь 2.6/100 от необходимого ответа.
Взгляд в сторону Windows
Все любят сравнивать Android и iOS, но такое сравнение не совсем справедливо, учитывая тот факт, что и ПО, и аппаратное обеспечение iOS принадлежит одной и той же компании. Более пригодной для сравнения моделью успешного выпуска патчей может стать Microsoft Windows. Система очень похожа на Android в части разнообразия «железа», широкой поддержки производителями и повсеместным распространением. Microsoft обладает централизованной системой обновлений и ОС, в основу которой не имеют права вмешиваться ни поставщики услуг, ни производители. По причине того, что поддержка железа отделена от операционной системы и никто не имеет права вносить в ОС какие-либо изменения, у Microsoft есть единая кодовая база для обновления каждой версии Windows, в этом и заключается зрелый подход к осуществлению обновлений. Такая система быстрого обновления на протяжении многих лет выдерживает постоянные атаки на безопасность и в этом плане Windows коренным образом отличается от Android.
Полностью закрытый характер обновлений не сработает для Android, этого «джина» в «бутылку» обратно уже не спрятать, однако для устранения текущей угрозы безопасности производителям и операторам необходимо согласиться с меньшим уровнем доступа к системе. Операторы должны иметь ограниченный уровень к пользовательским приложениям, как и поставщики услуг на ПК. Производители в дополнение к предыдущему ограничению должны иметь доступ к системе изменения интерфейса или смене скинов, что позволило бы им осуществлять так любимое ими брендирование интерфейса без затрагивания основной ОС.
Не всё гладко и с «железом». Android не имеет того уровня аппаратной абстракции как у x86, где драйверы для аппаратного обеспечения могут существовать отдельно от ОС. ARM и Android всё еще работают над моделью встроенной ОС, где общие драйверы устройств отсутствуют. Такая модель сделает поддержку каждого обновления каждого устройства нелегкой задачей и скорее всего здесь потребуется поддержка от Linux и ARM.
Также, необходимо твёрдо разубедить производителей в их идее о двухгодичном цикле обновления смартфонов для среднестатистических пользователей. Согласно исследованию фрагментации Android компании Open Signal в 2015 году самым популярным устройством Samsung является модель трехлетней давности Galaxy S III, а из 10 самых популярных устройств компании 6 аппаратов были выпущены больше двух лет назад, 2 не являются флагманами и не будут обновляться до новейшей версии ОС. Жестокая реальность заключается в том, что производители и операторы поддерживают лишь те устройства, которые находятся в продаже, отсюда и вырисовывается двухлетний план обновления. Samsung поспешит закрыть уязвимость на S6, однако, по данным вышеупомянутого исследования смартфон лишь 13 в рейтинге. Для реальной защиты пользователей компании нужно выпустить обновления для Galaxy S III, S4 и более дешевых устройств, например Galaxy Grand Prime. Из 10 устройств в топе патч был выпущен лишь для одного, Galaxy S5, который (сюрприз, сюрприз) всё еще в продаже.
Microsoft, напротив, до сих пор выпускает обновления безопасности для всех версий Windows начиная с Vista, что составляет около 86% пользователей. Оставшиеся пользователи пользуются XP, для которой Microsoft всё еще предлагает платные обновления безопасности после бесплатного продления поддержки на два года. 8 лет для смартфонов это, возможно, слегка чересчур, в конце концов, 8 лет назад об Android мало кто знал, но нет ничего предосудительного в том, чтобы стремиться к тому, чтобы обновить политику безопасности 85% устройств.
У участников экосистемы Android отсутствует какое-либо твердое мнение по поводу того, как безопасность может навредить другие ответвления бизнеса компаний. Google и Samsung пытаются выйти на корпоративный рынок (Android for Work, Knox), но репутация Android в части безопасности может сыграть злую шутку над обеими платформами. Корпорациям будет сложно принимать Android всерьёз, когда ОС постоянно «светится» в новостях, связанных с уязвимостями.
Впереди — тернистый путь
Без какого-либо реального решения проблемы компании просто лепят «заплатки» на найденные «дыры». Тестовая среда приложений Android обещает защитить от эксплойтов, «крепость» Play Store оградит пользователей от зараженных приложений, операторы вовсю работают над блокировкой зараженных Stagefright MMC-сообщений. Google в свою очередь будет выпускать всё новые компоненты для Сервисов Google Play, но всё же для некоторых аспектов будет требоваться обновление по воздуху.
В экосистеме Android слишком редко проявляется интерес к мнению пользователя, чтобы ожидать немедленного решения проблемы Stagefright. Операторы и производители не хотят вставать на сторону пользователей и эта эгоистичная позиция пока не встретила никаких ответных действий. Но последствия не за горами. Когда всё же грянет «судный день», то пользователям будет глубоко наплевать на ограничение по выпуску патча для флагмана двухлетней давности, если их устройство перестанет работать или будет украдена информация.
Вот что нам рассказал представитель Google, к которому мы обратились за комментариями по теме материала:
- На данный момент в 90% устройств на базе Android работает технология ASLR, которая сможет защитить от проблемы
- Мы выпустили патч для линейки Nexus и отправили его партнерам для защиты пользователей. Также, мы планируем выложить его в открытый доступ.
- В следующую версию Messenger будет включен патч, который поможет устранить угрозу на уровне приложений. После обновления пользователю нужно будет нажимать на видео для воспроизведения. Мы рекомендуем пользователям устройств с версиями Android Jellybean и выше переключиться с используемого ими СМС-приложения по умолчанию на наш продукт.
- В августе выйдет патч для самых популярных Android-устройств:
- Samsung Galaxy S6 Galaxy S6 Edge, Galaxy S5, Galaxy S4, Galaxy S3,
Note 4, Note 4 Edge- HTC One M7, One M8, One M9
- LG Electronics G2, G3, G4
- Sony Xperia Z2, Xperia Z3, Xperia Z4, Xperia Z3 Compact
- Android One
Основная проблема в том, что обновления флагманов недостаточно для того, чтобы обезопасить большую часть пользователей, а решения для остальных устройств пока нет. Модель обновления Android не работает, и чтобы перестроить её, нужно начинать с чистого листа. Есть идеи?
Оригинальный материал, автор Рон Амадео.
Elir: Стрелка смартчасов судного дня Android сдвинулась ближе к полуночи, по крайней мере так выглядит ситуация. Google выпускает патчи, производители пытаются закрыть уязвимость своими силами, операторы в меру сил принимают меры, но масштаб событий настолько огромен, что эти действия неубедительны. Тем более, в контексте последних новостей о том, что новая «версия» Stagefright теперь атакует смартфоны посредством воспроизведения зараженных MP3-файлов. Причин для паники как таковых пока нет, если вы не используете незащищенные клиенты для обмена сообщениями и не скачиваете программы из непроверенных источников. Однако, бездействие компаний, которые в первую очередь должны бить тревогу, несколько настораживает. Будем следить за новостями.
ну так, чистый андроид есть только на ограниченном числе гугловских аппаратов
именно их нужно сравнивать с iOS по части обновлений и т.д.
за обновлением и безопасностью форков андроид стоят их производители, всё честно
возьмём Xiaomi mi4 — на него можно поставить Miui на Android 4.4, а можно — абсолютно рабочий Android 5.1. Каждый выбирает сам.
MP3? Ммм, какая прелесть! Вот поневоле радует рост грамотности отдельных индивидов, какая смекалка! Какая выдумка! Следующим шагом должно стать заражение через входящий звонок. Если поднять трубку от неизвестного номера, вирус начнет внедряться….
«MP3? Ммм, какая прелесть!»
Небось опять страшилка, кем то запущенная. :))
Присылают файл ukupnik.mp3.apk, а и люди его воспроизвести пытаются….
Если бы так.
Присылают файл metallica.mp3 внутри MMSки, причем он таки да — исполняемый, а не музыка.
Но вот открывать его не требуется — система приема сообщений всё сделает сама, в этом и глюк.
Файл запускается без ведома и без участия пользователя. Затем MMSка бесследно удаляется (только в детализации видно).
Правда он запускается в ограниченной области Android — из которой он может получать доступ к медиахранилищу, а также к медиасредствам системы (микрофон, камера, динамики). Но не может иметь доступа к телефонной части, к ядру, др.
Поэтому максимум ущерба, который может нанести вирус — удалить ваши фотки/видео/музыку. (Еще можно записать ваши звуки в туалете, потом их проиграть в ресторане — но это ущерб нематериальный).
Именно поэтому мы не наблюдаем массового распространения вируса. Вирусописатели работают над тем, что деньги приносит — вроде доения банковской карточки через автоплатеж.
>>Но вот открывать его не требуется — система приема сообщений всё сделает сама, в этом и глюк.
Даже если отключен автоматический прием ммс в настройках?
>>Присылают файл metallica.mp3 внутри MMSки, причем он таки да — исполняемый, а не музыка.
Вы это сами ловили на свой телефон? Каковы результаты воздействия?
не ловил — у меня симбиан 🙂
да ещё винмобайл так же убитая потому что была расчитана на гиков как win xp, а как извесно гики не источник профита
Наверное, Вы не в курсе про заражение десктопов через PDF на сайте. Открываете зараженный сайт своим любимым браузером, сайт редиректит на некий PDF, который браузер пытается открыть по умолчанию либо во встроенном вьювере, либо во внешнем. А PDF не простая, а содержит некую последовательность, благодаря которой вьювер получает переполнение стека. И вот уже часть этого самого PDF, который является данными, находится в области памяти для исполняемого кода. Профит!
Полагаю, что у Stagefright схожий механизм — проигрыватель неадекватно реагирует на определенные данные в mp3/mp4, что приводит к выполнению кода, зашитого внутрь этого самого mp3/mp4
Это не был сарказм, действительно восхитился умом вирусоизобретателей.
С нетерпением жду в комментариях рассказов пострадавших от этого Stagefright. Уже какой месяц истерика в прессе, а массового заражения смартфонов чего то не видать.
Лично получил себе на телефон 5 ммс, одна из них обработалась с ошибкой и не удалилась сама, только поэтому узнал что они вообще были (в детализации 5 штук на телефоне одна). На всякий случай сделал сброс телефона, надеюсь это помогло и никто не успел прописаться в телефоне системным процессом.
«На всякий случай сделал сброс телефона»
То есть, вы прочитали страшилку в интернете, и теперь после каждой битой MMS телефон сбрасывать будете? :))
Если оператор говорит что прислал мне 5 ммс, а в телефоне я вижу только одну, то где остальные 4?
«то где остальные 4?»
Думаю, что нигде :)) Скорее всего это была одна и та же ммс-ка.
Была бы одна, они шли бы сразу друг за другом, а не с разницей между собой в 5-6 минут?
Кто то ещё пользуется MMSами? ))
Никто не мешает их прислать, т.к. по умолчанию они везде включены (и у оператора и в смартфоне).
Надо было телефон об асфальт треснуть на всякий пожарный.
Очень интересным способом вы решаете свои проблемы.
Один баг не такая уж проблема. Даже если баг настолько серьезный. Вспомните Heartbleed. Подвержены оказались тьмы девайсов, которые в принципе не принято обновлять — например те же роутеры. И не то чтобы баг сейчас эксплуатировался in the wild очень активно, иначе бы отчеты от разных антивирусных лабораторий были. Так что думаю, что конкретно этот один баг проблемой не станет.
Однако «апокаллипсис андроида» ожидать, наверное, все же стоит. Потому что надоел он уже, скажем честно, как бы ни был хорош. И iOS надоела, и все десктопные оси надоели. Очень надеюсь, что в ближайшем будущем нас ждет какой-то очень сильный (не обязательно мгновенный) поворот на рынке и все станет иначе. Просто ради борьбы с застоем
Насколько эффективен будет антивирус в случае со stagefright? У меня стоит купленный мной Pc-cillin security, программы устанавливаю только из play market и сомнительные файлы не открываю. телефон Galsxy S5.
«Насколько эффективен будет антивирус в случае со stagefright?»
Настолько же, насколько эффективен анальгин от марсианского гриппа. Вирусов в наличии нет, испытать невозможно :))
На S5 обещают патч.
Насколько я помню, Messenger не поддерживал работу двух сим карт
На Верту патч тоже не выйдет? Прекрасно.
«Android имеет различные механизмы защиты от потери контроля над вашим смартфоном, но тем не менее становиться страшно.» Кем становиться страшно, грамотно пишущим человеком? Напрасно, журналисту этого вовсе не стоит бояться.
Спасибо, исправил. И, да, я — не журналист. Так что не могу по достоинству оценить Ваш сарказм.
А в школе вы учились?
Правила- простейшие….
Не спорю. Автокоррект подводит иногда, к сожалению.
Мне привиделось или сравнение яблокооси и ведроида велось с десктопной виндой? Не знаю какова вероятность просачивания «плохих» программ в маркет выньфона, но поскольку это тот самый «неуловимы Джо», то можно не бояться подхватить бяку 🙂 Собственно этим я и пользуюсь- смарт на выньфоне, а десктоп на линуксе. 100% функциональные оси на которые кулхацкерам лень писать вирусы. Одним головняком меньше для юзера 🙂
Использую точно такую же связку, чем вызываю разрыв шаблона у виндузятников, да и линуксоидов.
Мне пришла заплатка на HTC One M7 GPE. Stagefright detector сказал, что все норм )))
на асус прилетел патч неделю или две назад)
но сначала обновился Смс клиент в котором автозагрузку ммс включать надо было принудительно)
>>Android не имеет того уровня аппаратной абстракции как у x86, где драйверы для аппаратного обеспечения могут существовать отдельно от ОС
Что правда? Синий экран при установке не того драйвера конечно появляется не от высокого уровня аппаратной абстракции?
>>Такая система быстрого обновления на протяжении многих лет выдерживает постоянные атаки на безопасность и в этом плане Windows коренным образом отличается от Android.
Заходим на любой форум по антивирусной защиты и внимательно читаем жалобные посты пользователей с темами «поймал вирус на винде»…
А кто вообще пользуется ммс сообщениями? Лично я пару раз воспользовался когда они только появились, еще на 40 ой платформе. Потом настроил почту и забыл про это дорогое недоразумение.
И из всех моих знакомых лишь один подключил безлимит и пользовался этой хренью, я ему долго объяснял что он поступает глупо! В итоге перевел его таки на мессенджеры и прочее
Пользователи Андроида бывают двух видов: те, кто делает бэкапы, и те, кто ещё не делает.
Бэкапы чего? Контакты, смс, заметки бекапятся по умолчанию. Фотографии любимых кошечек к потерям юзеры индифферентны, а если так важно-сливают в гуглодрайв или подобные облака. Что еще?-настройки приложений?
Бекап системы через кастомное рекавери, умник вы наш.
накуя? чтобы не настраивать лаунчер и пару приложений?
Только вот беда-терял файлы от трояна-шифровальщика в Windows, или платил вымогателям за расшифровщик, или получал экран блокировщика, или доходил до переустановки системы из-за полной «затрояненности» и невозможности нормально работать-проактически каждый пользователь Windows. Не говоря о сущих мелочах, вроде кражи паролей от «асек»,»скайпов» до номеров кредиток.
А про Андроид слышно только о тех «недалеких», кто умудрился отключить установку из сторонних источников в настройках, и упорно ставит «Оперы Мини»(с) .
В принципе, скелет заметки правильный, проблема есть, только вот раздуто все это на уровне «желтой прессы». Что сильно не красит, да. «Судный день», «Катастрофа», «Трагедия системы»…. Или я перепутал сайты и читаю MK.ru?
Статья-то переводная. Для европейско-заокеанских авторов характерен такой гиперболизированный стиль.
Угу, только ловят эти трояны те, кто сидят на пиратской винде «зверской» сборки без обновлений через старую версию браузера со старым флешем.
Подхватить что-то на регулярно обновляющуюся винду с антивирусом и нормальным браузером уже гораздо сложнее.
шифраторы легко плюют на все антивирусы и обновления и с легкостью заставят вас рвать волосы на голове из за отсутствия бекапов.
Сами Дообрые, небось, виря и забацали, чтобы потихоньку с вольницей на ведерке закончить
Цитата: «С безопасностью Android на сегодняшний день всё далеко не так благополучно…»
А что такое «далеко не так благополучно»? Что означает сия странная фраза?
Последнее обновление на Note4 было где-то в августе, на Android 5.1.1. Но я с вирусами на этой системе не сталкивался ни разу. А вот друзьям пару раз чистил девайсы от разной гадости.
Многобукафф. Ниасилил.
Андройдукапец?
бред какой то,ИМХО. все это из разряда «палки,которая раз в год стреляет». кому это все надо? если обнаружили возможность,это не значит,что завтра же все смарты на Андроид будут заражены. Знать не знал об этой угрозе,после прочтения статьи полез гуглить интернеты ради собственного развития. вроде как чтоб в теме быть. и что я вижу? просто беспочвенная истерика. Вы как хотите,а лично я очень даже сомневаюсь,что кому то есть дело до моей медиатеки на смарте.
Почитайте про Kemoge, тоже неплохо там всё.
ммс последний получал от мегафона год назад