Android-laitteita laajamittaisesti koskevaan viime vuoden Stagefright-haavoittuvuuteen on julkaistu toimiva hyväksikäyttömenetelmä, nimeltään Metaphor, joka tietoturvatutkijoiden mukaan mahdollistaa Androidin suojausmekanismien ohittamisen. Haavoittuvat laitteet voidaan ottaa haltuun esimerkiksi haitallisella verkkosivulla vierailun yhteydessä.

Stagefright-haavoittuvuus on lähes kaikissa Android-laitteissa

Loppukesällä 2015 Zimperiumin julkistama Stagefright on joukko haavoittuvuuksia mediatiedostojen käsittelyyn käytetyn Stagefright-kirjaston mediaserver-komponentissa. Haavoittuvuudet mahdollistavat haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä jopa ilman käyttäjän toimia, jos haitallista sisältöä sisältävä mediatiedosto toimitetaan laitteeseen esimerkiksi multimediaviestin, sähköpostin, Bluetoothin tai verkkosivulla vierailun avulla. Haavoittuvuus koskee Android-versioita 2.2 - 5.1.1.

Elokuun puolessa välissä Trend Micro löysi uuden Androidin mediaserver-komponentin haavoittuvuuden, joka sai nimen Stagefright 2. Haavoittuvuus koskee Android-versioita 2.3 - 5.1.1.

Google julkaisi päivityksen Stagefright-haavoittuvuuksiin melko nopeasti, mutta ongelmaksi muodostui päivitysten jakelun hitaus muiden Android-laitevalmistajien kautta käyttäjille. Lisäksi kaikki valmistajat eivät enää tue vanhimpia haavoittuvia laitteita, eikä osaa sulautetuista järjestelmistä ole suunniteltu helposti päivitettäväksi.

Metaphor ohittaa muistinsuojausmekanismit

Zimperium julkaisi Stagefright-haavoittuvuuden hyödyntämiseen esimerkkihaittakoodia. Käytännössä haavoittuvuuksien hyödyntäminen vaikutti tällöin kuitenkin hankalalta, sillä Android-versiosta 4.1 lähtien käyttöjärjestelmään on lisätty muistin suojausmekanismi, Address Space Layout Randomization (ASLR). Haitallisen ohjelmakoodin ajaminen Stagefright-haavoittuvuuden avulla edellyttää ASLR-suojauksen ohittamista, joka käytännössä edellyttää toisen haavoittuvuuden olemassaoloa puhelimessa.

Juuri julkistettu Metaphor-nimen saanut exploit voi ohittaa myös muistin suojausmekanismi ASLR:n, mikä tekee uhkasta todellisemman. Israelilainen tutkimusyhtiö NorthBit esittää tutkimuksessaan kolmivaiheisen tavan, jolla Android-laite voidaan ottaa haltuun:

1. Käyttäjä houkutellaan vierailemaan haitallisella verkkosivulla, jonka lähettämä videotiedosto kaataa laitteen mediaserver-sovelluksen. Sivulla oleva JavaScript odottaa mediaserverin uudelleenkäynnistystä ja lähettää tietoa laitteesta hyökkääjän palvelimelle.
2. Vastaanotetun tiedon perusteella räätälöidään videotiedosto, joka lähetetään laitteelle. Video hyödyntää Stagefright-haavoittuvuuksia paljastaen lisätietoa laitteen sisäisestä tilasta ja lähettää tiedot hyökkääjän palvelimelle.
3. Vastaanotetun tiedon perusteella luodaan vielä yksi haittaohjelman sisältävä videotiedosto, joka suoritetaan videon prosessoinnin yhteydessä.

Haavoittuvuuden hyväksikäyttöä Nexus 5 -laitteella demonstroidaan myös Youtube-videolla. NorthBit kertoo onnistuneista kokeiluista myös LG G3:lla, HTC Onella ja Samsung Galaxy S5:llä.

Haavoittuvia versioita ei ole syytä käyttää

Metaphor toimii Android-versioissa 2.2-4.0, joissa ASLR-suojausta ei ole, sekä ohittaa ASLR-suojauksen versioissa 5.0-5.1.

Verkkoselaukseen käytettävien tai multimediaviestien vastaanottamiseen kykenevien Android-laitteiden versio ja päivitykset on tässä vaiheessa syytä tarkistaa omalta laitteeltaan. Lisätietoa Stagefright-päivityksistä on koottu lisätietolinkkeihin.

Niitä Android-laitteita, joihin korjauspäivitystä ei ole saatavilla, ei enää kannata käyttää. Oman laitteen tilan voi tarkistaa myös Stagefright Detector -työkalulla.

Lisätietoja

Metaphor ja Stagefright