Gaia Bottà

Stagefright ritorna in scena su Android

Le vulnerabilità che affliggono la libreria che gestisce i file multimediali sono ancora sfruttabili, nonostante le misure di sicurezza implementate da Google sulle versioni 5.0 e 5.1 dell'OS. A dimostrarlo c'è l'exploit Metaphor

Roma - I ricercatori di sicurezza hanno messo a punto un nuovo exploit per delle famigerate vulnerabilità di Android, quelle che colpiscono Stagefright: Google le ha sanate a suo tempo con misure come il sistema di Address Space Layout Randomization (ASLR), ma sembra non bastare, e inoltre non tutti i produttori, come noto, hanno concesso agli utenti di mettere in sicurezza il sistema operativo.


Il nuovo exploit che sfutta i problemi della libreria che su Android si occupa di gestire i file multimediali si chiama Metaphor, ed è stato sviluppato dai ricercatori di North-Bit sulla base degli exploit realizzati dai colleghi di Zimperium e sviluppati internamente dalla stessa Google. Metaphor, spiega North-Bit, è stato testato su Nexus 5, su LG G3, HTC One e Samsung Galaxy S5, e nonostante si comporti diversamente sulle differenti versioni dell'OS e sui diversi terminali, può funzionare su Android nelle versioni da 2.2 a 4.0 e sulle versioni 5.0 e 5.1, per una platea di vittime stimata in milioni, data la frammentazione dell'ecosistema mobile di Google.

L'exploit fa leva sul bug CVE-2015-3864, e come per i precedenti exploit delle vulnerabilità nella libreria Stagefright, che si occupa di generare anteprime e di gestire i metadati dei file, non richiede alla vittima di interagire con il contenuto: Metaphor opera attraverso il browser, e all'utente basta consultare una pagina web compromessa.
L'exploit si dispiega dunque in tre fasi: nel momento in cui la vittima si trova sulla pagina web vettore dell'attacco, un file video creato ad hoc interferisce con il mediaserver dell'OS, causandone il crash. Il codice JavaScript contenuto nella pagina Web attende il riavvio e verifica la presenza della vulnerabilità, comunicando i risultati al server dei malintenzionati. Un secondo file mp4 si occupa di rimettere alla prova la componente Stagefright, mentre altro codice JavaScript si occupa di recapitare le altre informazioni estratte ai server, in particolare riguardo alla localizzazione delle librerie libc.so e libicui8n.so e alla configurazione del memory allocator jemalloc, così da poter aggirare il sistema di ASLR, implementato su Android 5.0 e 5.1 proprio per mitigare i pericoli dei bug di Stagefright, e generare un terzo file mp4, portatore del codice che verrà eseguito attraverso il parsing.

Riguardo all'opera North-Bit si sono già espressi i ricercatori di Zimperium, che per primi hanno individuato le vulnerabilità di Stagefright con due exploit, il secondo dei quali è stato reso solo parzialmente pubblico: il paper su Metaphor, osservano, "fornisce abbastanza dettagli per permettere ai cracker professionisti di mettere a punto un exploit pienamente funzionante e affidabile".

Gaia Bottà
Notizie collegate
  • SicurezzaStagefright 2.0, torna la paura su AndroidUna falla di vecchia data e un bug che affligge Android 5.x aprono il sipario su una nuova minaccia da un miliardo di utenti: basta l'anteprima di un video o di un file audio. Le patch sono pronte, ma quando saranno distribuite?
  • SicurezzaStagefright, pubblicato il codice per l'attaccoZimperium ha finalmente rilasciato il codice necessario a compromettere i gadget Android per mezzo delle vulnerabilità nel componente Stagefright, un tool utile per testare le patch in via di distribuzione da parte di Google e partner OEM
  • SicurezzaCrack Android, basta un numero di telefonoSei vulnerabilità affliggono tutte le versioni di Android a partire dalla 2.2, vale a dire 950 milioni di dispositivi: consentono ad un malintenzionato di prendere il controllo del terminale o di alcune sue funzioni
41 Commenti alla Notizia Stagefright ritorna in scena su Android
Ordina
  • era luglio (mi pare) quando il megaexploit commentato venne fuori... "milioni di milioni di android vulnerabili", seguirono impegnate analisi, ulteriori varianti di exploit sul tema, analisi di ProjectZero... e niente.
    Non un cazzo di exploit AFFIDABILE e' venuto fuori... c'e' gente che ha smadonnato mesi su github e forum. Certo la nsa(tm) sicuramente ne avra' uno... ma la amata criminalita' ucraina e i signori di metasploit, niente.

    Ora (dopo quasi 1 anno) sti israeliani pare abbiano dato una registrata al "problema" (gia' il titolo e' tutto un programma 'A (real) real­life Stagefright exploit' OH "real eh!".... ma e' ancora pienuccio di "IF THEN" (basta leggere il pdf).
    Uff... ora che diventa TRUE REAL REALLY RELIABLE saranno tutti passati ad android 6A bocca storta
    non+autenticato
  • Sono sviluppatore Android e provo a spiegare la questione.

    Non so se sfruttare la falla Stagefright sia facile, difficile o impossibile; questo va ben oltre le mie capacità. Quello che posso dirvi è che non serve Stagefright per avere un quasi-full-control del terminale.

    Provate a vedere quali autorizzazioni richiedono app come Facebook, Twitter, Whatsapp, Telegram, Skype, ecc. Queste app possono (non dico che lo fanno ma potrebbero), tracciare la posizione, scattare foto, registrare col microfono, leggere i file sulla SD, manipolare le foto della galleria, prelevare i contatti, ecc. Queste app hanno anche un "servizio" che gira in background quindi il monitoraggio potrebbe essere continuo.

    Per le procedure più complesse (quelle sopra elencate sono banali) come registrare chiamate, catturare lo schermo (quindi vedere come l'utente interagisce con altre app) o installare un keylogger (per sniffare password o carte di credito) nessun problema: ci sono librerie che lo fanno. Infatti su Play Store esistono app (basta cercare "Call Recorder", "Screen Recorder", "Keylogger") che, senza privilegi di root, implementano queste funzionalità.

    Android 6 chiede le autorizzazioni quando servono, ma se l'app viene compilata con "targetSdkVersion <= 22" o accetti tutto o non la installi. E tanti saluti alle permission di Android M.

    Cosa fare? Credo che un terminale (per architettura e sandbox varie) sia più sicuro di un PC (Win, Linux e Mac per le app installate dai .DMG), quindi se siamo sopravvissuti all'era dei PC sopravviviamo anche all'era mobile... Basta usare la testaOcchiolino
    non+autenticato
  • - Scritto da: Cannondale

    > Non so se sfruttare la falla Stagefright sia
    > facile, difficile o impossibile; questo va ben
    > oltre le mie capacità.
    allora non scrivere.

    > Cosa fare? Credo che un terminale (per
    > architettura e sandbox varie) sia più sicuro di
    > un PC (Win, Linux e Mac per le app installate dai
    > .DMG),
    windows = discreto
    linux = sicuro
    mac = sistema instabile ma graficamente figo, per figli di papà
    non+autenticato
  • Questo commento mi pare solo una provocazione, quindi non dovrei rispondere, ma ti do la soddisfazione.

    Le ultime versioni di Win, OSX e Linux sono sicure se usate bene. Non per farmi gli affari tuoi, ma credo che se lanciassi un history | grep "sudo " , sul tuo sicurissimo Linux, darebbe molti risultati di comandi che hai lanciato, presi da forum vari, di cui non sai assolutamente la funzione.

    Come dicevo, se non si usa la testa, qualsiasi sistema è insicuroOcchiolino
    non+autenticato
  • - Scritto da: Cannondale
    > Le ultime versioni di Win, OSX e Linux sono
    > sicure se usate bene. Non per farmi gli affari
    > tuoi, ma credo che se lanciassi un
    > history | grep "sudo "
    , sul tuo
    > sicurissimo Linux, darebbe molti risultati di
    > comandi che hai lanciato, presi da forum vari, di
    > cui non sai assolutamente la
    > funzione.
    quindi tu, che sei un super developpatore, non hai mai fatto copia-incolla da stackhoverflow? ti sei studiato tutto sui libri immagino. continua a studiare allora, io esco con gli amici, ci sentiamo domani se ho superato la sbronza.
    non+autenticato
  • - Scritto da: closed sorcio
    > quindi tu, che sei un super developpatore, non
    > hai mai fatto copia-incolla da stackhoverflow? ti
    > sei studiato tutto sui libri immagino.
    Non siamo mica tutti dei perfetti incapaci come te, che hai bisogno di copiare ed incollare codice a caso dato da gente a caso e preso su siti a caso.
    C'è gente che a differenza tua il cervello lo accende.

    > continua a
    > studiare allora, io esco con gli amici, ci
    > sentiamo domani se ho superato la
    > sbronza.
    Ecco bravo, vai a bere così almeno quando spari cazzate lo fai da ubriaco.
    Lascia solo perdere gli IDE.
    Scrivere codice evidentemente non è roba per te.
    non+autenticato
  • - Scritto da: Cannondale
    > Android 6 chiede le autorizzazioni quando
    > servono, ma se l'app viene compilata con
    > "targetSdkVersion <= 22" o accetti tutto o non
    > la installi. E tanti saluti alle permission di
    > Android
    > M.

    Non è proprio così.
    Quando compili per il vecchio Sdk, è vero che torni in modalità compatibile, ma quando l'utente ti droppa i permessi direttamente dai settaggi di sistema la tua app crasha o va in eccezione brutale.
  • Secondo me si sta facendo tanto, troppo, polverone intorno a Stagefright. Ma qualcuno sa se questo exploit è già stato usato "in the real world"? Oppure se resta solo una "dimostrazione accademica"? Per quanto mi riguarda mi sembra che negli ultimi anni siano state trovate (e sfruttate) gravi vulnerabilità su iOS, mentre su Android non ci sono mai stati attacchi portati a termine (in questo caso la frammentazione ha aiutato).
    non+autenticato
  • "in the real world" è stato usato sul motorola di viviani per il servizio delle iene su come sia facile spiare una persona.

    http://mdst.it/03v562166/
    non+autenticato
  • - Scritto da: open sorcio
    > "in the real world" è stato usato sul motorola di
    > viviani per il servizio delle iene su come sia
    > facile spiare una
    > persona.
    >
    > http://mdst.it/03v562166/

    il link non va... rileggere prima di postare è buona norma.
    non+autenticato
  • - Scritto da: closed sorcio
    > - Scritto da: open sorcio
    > > "in the real world" è stato usato sul
    > motorola
    > di
    > > viviani per il servizio delle iene su come
    > sia
    > > facile spiare una
    > > persona.
    > >
    > > http://mdst.it/03v562166/
    >
    > il link non va... rileggere prima di postare è
    > buona
    > norma.

    il link funziona PERFETTAMENTE se lo copi ed incolli nella barra indirizzi completo di slash finale. effettuare una verifica manualmente è buona norma prima di sparare idiozie.
    tra l'altro, va bene che non sai nemmeno far funzionare un link... ma non è che serve un genio per fare una ricerca in rete...

    http://www.video.mediaset.it/video/iene/puntata/vi...
    non+autenticato
  • - Scritto da: open sorcio
    > - Scritto da: closed sorcio
    > > - Scritto da: open sorcio
    > > > "in the real world" è stato usato sul
    > > motorola
    > > di
    > > > viviani per il servizio delle iene su come
    > > sia
    > > > facile spiare una
    > > > persona.
    > > >
    > > > http://mdst.it/03v562166/
    > >
    > > il link non va... rileggere prima di postare è
    > > buona
    > > norma.
    >
    > il link funziona PERFETTAMENTE se lo copi ed
    > incolli nella barra indirizzi completo di slash
    > finale. effettuare una verifica manualmente è
    > buona norma prima di sparare
    > idiozie.

    Più che altro non ho mai sentito di un URL che se metti la slash finale funziona e se non la metti dà 403 forbidden. Complimenti alla competenza di chi ha configurato quel sito!
    non+autenticato
  • - Scritto da: ...
    > Complimenti alla competenza di
    > chi ha configurato quel
    > sito!
    e di chi l'ha postato.
    non+autenticato
  • - Scritto da: closed sorcio
    > - Scritto da: ...
    > > Complimenti alla competenza di
    > > chi ha configurato quel
    > > sito!
    > e di chi l'ha postato.
    e di chi non sa usare internet.
    non+autenticato
  • 1) su chrome anche con lo slash finale non espande l'url, se vuoi creare un url compatto usa dei servizi funzionanti come bit.do o is.gd

    2) se prendi come base un servizio delle iene siamo a posto (già vedi come funziona bene il sistema di abbreviazione degli url, il che dovrebbe farti pensare...)

    3) se invece scrivi solo per trovare una giustificazione ai tuoi 1000 euro spesi per un pezzo di delicato alluminio con una mela stampata sopra, ti capisco e compatisco...
    non+autenticato
  • - Scritto da: closed sorcio
    > 1) su chrome anche con lo slash finale non
    > espande l'url, se vuoi creare un url compatto usa
    > dei servizi funzionanti come bit.do o
    > is.gd
    >
    > 2) se prendi come base un servizio delle iene
    > siamo a posto (già vedi come funziona bene il
    > sistema di abbreviazione degli url, il che
    > dovrebbe farti
    > pensare...)
    >
    > 3) se invece scrivi solo per trovare una
    > giustificazione ai tuoi 1000 euro spesi per un
    > pezzo di delicato alluminio con una mela stampata
    > sopra, ti capisco e
    > compatisco...

    sì certo, trova pure tutte le scuse che vuoi. ma resta sempre il fatto che sei uno di quei tronfi presuntuosi che si sentono chissà chi e poi invece non sono nemmeno capaci di far funzionare una stupida url. con un po' di umiltà otterresti risposte più gentili sai? poi mi dispiace tanto deluderti, ma non ho mai posseduto un prodotto apple in vita mia e sta pur certo che mai ne avrò. il mio huawei con ANDROID mi basta e mi avanza anche. per tanto compatisci te stesso, caro capitan "so tutto io".
    non+autenticato
  • - Scritto da: open sorcio
    > poi mi dispiace tanto
    > deluderti, ma non ho mai posseduto un prodotto
    > apple in vita mia e sta pur certo che mai ne
    > avrò. il mio huawei con ANDROID mi basta e mi
    > avanza anche. per tanto compatisci te stesso,
    > caro capitan "so tutto io".
    ti chiedo scusa, credevo fossi un applefan... loro li tratto sempre mmale perché se lo meritano.
    non+autenticato
  • - Scritto da: closed sorcio
    > - Scritto da: open sorcio
    > > poi mi dispiace tanto
    > > deluderti, ma non ho mai posseduto un
    > prodotto
    > > apple in vita mia e sta pur certo che mai ne
    > > avrò. il mio huawei con ANDROID mi basta e mi
    > > avanza anche. per tanto compatisci te stesso,
    > > caro capitan "so tutto io".
    > ti chiedo scusa, credevo fossi un applefan...
    > loro li tratto sempre mmale perché se lo
    > meritano.
    ascolta, voler bene ai marchi è semplicemente da idioti. invece di partire con atteggiamenti negativi, dovresti imparar a dialogare serenamente con le persone. altrimenti internet diventerà sempre più uno schifo di posto e la cosa più triste, è che lo paghiamo anche per starci. comunque apprezzo il fatto che hai chiesto scusa, questo ti fa onore e ti fa uscire dal discorso a testa alta.
    non+autenticato