פתיחת התפריט הראשי

Stagefright (בעברית: "פחד במה") הוא שם כולל לקבוצת באגים שמשפיעים על מערכת ההפעלה אנדרואיד מגרסה 2.2 ואילך, ומאפשרים לתוקפים לבצע פעולות שרירותיות על מכשיריהם של קורבנות בעזרת הרצת קוד מרחוק והסלמת הרשאות.[1] חוקרי אבטחת מידע הדגימו את קיומם של הבאגים בעזרת הוכחת התכנות ששולחת הודעות MMS שהוכנו מראש למכשיר הקורבן, וברוב המקרים לא דורשת ביצוע פעולה מסוימת מצד משתמש הקצה מרגע שההודעה התקבלה. המידע היחיד שהחוקרים ידעו על היעד הנתקף לצורך ההדגמה הוא את מספר הטלפון שלו.[2][3][4][5]

שיטת ההתקפה המרכזית מנצלת חולשות מסוג גלישה נומרית ברכיב ליבה של אנדרואיד שמכונה "Stagefright"[6][7] (או בקוד המקור: libstagefright), ספרייה מורכבת הממומשת בעיקר ב־C++‎ המהווה חלק מפרויקט הקוד הפתוח של אנדרואיד, ומשומשת על ידי מערכת ההפעלה כמנוע לניגון קובצי מולטימדיה כמו קובצי MP4.[5][8]

לבאגים שנתגלו ניתנו מספר מזהי CVE‏: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829 ו־CVE-2015-3864 (האחרון הוקצה בנפרד מהאחרים), כאשר נפוץ להתייחס לכולם כקבוצה תחת השם "באג Stagefright".[9][10][11]

היסטוריהעריכה

באג ה־Stagefright נמצא על ידי יהושע דרייק (Joshua Drake) מחברת האבטחה Zimperium, והתפרסם לציבור בפעם הראשונה ב־27 ביולי 2015. לפני ההכרזה, דרייק דיווח על הבאג לגוגל באפריל 2015, וזו האחרונה שחררה כעבור יומיים טלאי תוכנה שהופץ במאגר הקוד הפנימי של החברה.[2][3][4][5] ביולי 2015, יבגני לגרוב, חוקר אבטחה ממוסקבה, הכריז שהוא מצא לפחות שתי מתקפות אפס ימים דומות הקשורות בגלישת ערימה בקוד של ספריית Stagefright. לגורוב אישר שהפרצות שמצא הפכו להיות בלתי אפשריות לניצול על ידי החלת טלאי התוכנה שדרייק שלח לגוגל.[1][12]

הגילוי הנאות הפומבי של באג ה־Stagefright התבצע ב־5 באוגוסט 2015, בכנס Black Hat שבארצות הברית[13] וכן ב־7 באוגוסט 2015, בכנס DEF CON ה־23.[14][5] לאחר הגילוי ב־5 באוגוסט, Zimperium פרסמה לציבור את קוד המקור של הוכחת ההתכנות לניצול, טלאים לתיקון ספריית Stagefright (למרות שאלו כבר שוחררו במאי 2015 במסגרת פרויקט הקוד הפתוח של אנדרואיד ומאגרי קוד פתוח אחרים,[15][16]) ויישומון אנדרואיד שנקראת "מזהה Stagefright" שבוחן האם המכשיר פגיע לבאג ה־Stagefright.[10][17]

ב־13 באוגוסט 2015, פגיעות נוספת הקשורה ב־Stagefright פורסמה על ידי Exodus Intelligence.[11] פגיעות זו לא תוקנה על ידי הטלאים שפורסמו לפירצות שהיו ידועות עד כה. הצוות של CyanogenMod פרסם הודעה שטלאים שמטרתם סגירת חולשה זו ישולבו בקוד המקור של CyanogenMod 12.1 ב־13 באוגוסט 2015.[18]

ב־1 באוקטובר 2015 Zimperium שחררה פרטים על פגיעויות נוספות, הידועים בשמם גם כ־Stagefright 2.0. פגיעויות אלו נגרמות על ידי קובצי MP3 ו־MP4 שהוכנו במיוחד לצורך המתקפה, ומריצים קוד זדוני כאשר מנגנים אותם באמצעות שרת המדיה של אנדרואיד. חולשה זו נמצאה בספרייה מרכזית באנדרואיד בשם libutils, רכיב של אנדרואיד שקיים מאז שאנדרואיד שוחרר. גרסאות האנדרואיד 1.5 עד אנדרואיד 5.1 פגיעות לחולשה זו, ומספר המכשירים הפגיעים מוערך בכמיליארד.[19]

השלכותעריכה

בעוד שגוגל מתחזקת את בסיס הקוד העיקרי של אנדרואיד, עדכוני קושחה למכשירי אנדרואיד שונים הם באחריות ספקיות הסלולר ויצרני הציוד המקוריים. כתוצאה מכך, הפצת טלאים בפועל למכשירים לעיתים קרובות מתבצעת אחרי זמן רב. ההליך מושפע בין היתר מההפרדה המורגשת בין היצרנים, גרסאות המכשיר, גרסאות מערכת ההפעלה והתאמות שונות שנעשות למערכת ההפעלה על ידי היצרניות.[20][21] מכשירים ישנים או זולים צפויים שלא לקבל טלאי עדכון לקושחה בכלל.[22] מכשירים רבים שאינם נכללים בהליך הפצת הטלאים יצטרכו להפרץ על ידי בעלי המכשירים עצמם, הליך שמפר את התנאים של חוזים רבים ספקיות הסלולר. מסיבות אלו, טבעו של Stagefright מדגיש את הקשיים הטכניים והארגוניים המזוהים עם הפצת טלאים לאנדרואיד.[3][23]

על מנת לטפל בעיכובים ובבעיות הקשורות בהפצת טלאים לאנדרואיד, ב־1 באוגוסט 2015 יצרה Zimperium התאגדות בשם Zimperium Handset Alliance, שמטרתה לאפשר לגורמים שונים להחליף מידע ולקבל עדכונים בזמן אמת על בעיות אבטחה הקשורות באנדרואיד. חברים בהתאגדות קיבלו גם את הקוד של הוכחת היתכנות עוד לפני שהוא פורסם לציבור. נכון לתאריך ה־6 באוגוסט 2015,‏ 25 מיצרניות הציוד ומספקיות הסלולר המובילות כבר הצטרפו להתאגדות.[10][15][24]

ראו גםעריכה

  • דיוג – ניסיון להשיג מידע רגיש על ידי התחזות לישות אמינה בתקשורת אלקטרונית.

הערות שולייםעריכה

  1. ^ 1.0 1.1 "How to Protect from StageFright Vulnerability". zimperium.com. 30 ביולי 2015. בדיקה אחרונה ב-31 ביולי 2015. 
  2. ^ 2.0 2.1 Michael Rundle (27 ביולי 2015). "'Stagefright' Android bug is the 'worst ever discovered'". Wired. בדיקה אחרונה ב-28 ביולי 2015. 
  3. ^ 3.0 3.1 3.2 Steven J. Vaughan-Nichols (27 ביולי 2015). "Stagefright: Just how scary is it for Android users?". ZDNet. בדיקה אחרונה ב-28 ביולי 2015. 
  4. ^ 4.0 4.1 Alex Hern (28 ביולי 2015). "Stagefright: new Android vulnerability dubbed 'heartbleed for mobile'". The Guardian. בדיקה אחרונה ב-29 ביולי 2015. 
  5. ^ 5.0 5.1 5.2 5.3 "Experts Found a Unicorn in the Heart of Android". zimperium.com. 27 ביולי 2015. בדיקה אחרונה ב-28 ביולי 2015. 
  6. ^ Garret Wassermann (29 ביולי 2015). "Vulnerability Note VU#924951 Android Stagefright contains multiple vulnerabilities". CERT. בדיקה אחרונה ב-31 ביולי 2015. 
  7. ^ "Android Interfaces: Media". source.android.com. 8 במאי 2015. בדיקה אחרונה ב-28 ביולי 2015. 
  8. ^ Mohit Kumar (27 ביולי 2015). "Simple Text Message to Hack Any Android Phone Remotely". thehackernews.com. בדיקה אחרונה ב-28 ביולי 2015. 
  9. ^ Robert Hackett (28 ביולי 2015). "Stagefright: Everything you need to know about Google's Android megabug". Fortune. בדיקה אחרונה ב-29 ביולי 2015. 
  10. ^ 10.0 10.1 10.2 "Stagefright: Vulnerability Details, Stagefright Detector tool released". zimperium.com. 5 באוגוסט 2015. בדיקה אחרונה ב-25 באוגוסט 2015. 
  11. ^ 11.0 11.1 Jordan Gruskovnjak; Aaron Portnoy (13 באוגוסט 2015). "Stagefright: Mission Accomplished?". exodusintel.com. בדיקה אחרונה ב-8 באוקטובר 2015. 
  12. ^ Thomas Fox-Brewster (30 ביולי 2015). "Russian 'Zero Day' Hunter Has Android Stagefright Bugs Primed For One-Text Hacks". Forbes. בדיקה אחרונה ב-31 ביולי 2015. 
  13. ^ "Stagefright: Scary Code in the Heart of Android". blackhat.com. 21 באוגוסט 2015. בדיקה אחרונה ב-25 באוגוסט 2015. 
  14. ^ "Stagefright: Scary Code in the Heart of Android". defcon.org. 7 באוגוסט 2015. בדיקה אחרונה ב-25 באוגוסט 2015. 
  15. ^ 15.0 15.1 "ZHA Accelerating Roll-out of Security Patches". zimperium.com. 1 באוגוסט 2015. בדיקה אחרונה ב-25 באוגוסט 2015. 
  16. ^ Joshua J. Drake (5 במאי 2015). "Change Ie93b3038: Prevent reading past the end of the buffer in 3GPP". android-review.googlesource.com. בדיקה אחרונה ב-25 באוגוסט 2015. 
  17. ^ Eric Ravenscraft (7 באוגוסט 2015). "Stagefright Detector Detects if Your Phone Is Vulnerable to Stagefright". lifehacker.com. בדיקה אחרונה ב-25 באוגוסט 2015. 
  18. ^ "More Stagefright". www.cyanogenmod.org. 13 באוגוסט 2015. בדיקה אחרונה ב-15 באוגוסט 2015. 
  19. ^ "Stagefright 2.0 Vulnerabilities Affect 1 Billion Android Devices". www.threatpost.com. 1 באוקטובר 2015. בדיקה אחרונה ב-1 באוקטובר 2015. 
  20. ^ Jamie Lendino (27 ביולי 2015). "950M phones at risk for 'Stagefright' text exploit thanks to Android fragmentation". extremetech.com. בדיקה אחרונה ב-31 ביולי 2015. 
  21. ^ Jordan Minor (30 ביולי 2015). "There's (Almost) Nothing You Can Do About Stagefright". PC Magazine. בדיקה אחרונה ב-31 ביולי 2015. 
  22. ^ Cooper Quintin (31 ביולי 2015). "StageFright: Android's Heart of Darkness". Electronic Frontier Foundation. בדיקה אחרונה ב-2 באוגוסט 2015. 
  23. ^ Phil Nickinson (27 ביולי 2015). "The 'Stagefright' exploit: What you need to know". Android Central. בדיקה אחרונה ב-29 ביולי 2015. 
  24. ^ Lucian Armasu (6 באוגוסט 2015). "Zimperium Releases Stagefright Vulnerability Detector". Tom's Hardware. בדיקה אחרונה ב-25 באוגוסט 2015.