Center for Cybersikkerhed: Sandsynligt at Stagefright vil blive forsøgt udnyttet inden for de næste måneder
Ni måneder efter den alvorlige sårbarhed i Android-styresystemet, benævnt Stagefright, først kom til offentlighedens kendskab, har Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjenestes nu udgivet en trusselsvurdering i forhold til sårbarheden (PDF).
CFCS vurderer, at det er sandsynligt, at sårbarheden vil blive forsøgt udnyttet i løbet af de kommende måneder, men at truslen fra sårbarheden er lav. Det hænger sammen med sikkerhedstiltag i nyere udgaver af Android.
Stagefright-sårbarheden vakte stor opsigt, da Joshua Drake fra it-sikkerhedsvirksomheden Zimperium fortalte om den i forbindelse med en Blackhat-konference i begyndelsen af august 2015.
Egentlig dækker navnet over en stribe sårbarheder i Android-styresystemets mediebibliotek Stagefright.
Sårbarhederne gør det blandt andet muligt at hacke en Android-telefon via en MMS-besked, hvilket selvsagt kan få uoverskuelige konsekvenser. Zimperium havde dog - heldigvis - gjort Google, der står bag Android-styresystemet, bekendt med sårbarheden i april 2015.
Så patches var foreberedte. Det står der mere om på Wikipedia.
Sidenhen kom der også en Stagefright 2.0-sårbarhed, hvor blandt andet mp3-filer på en hjemmeside gør det muligt at overtage en enhed.
Udfordringen i forhold til Android-styresystemet og sikkerhedshuller er, at der er mange telefoner i omløb med alskens udgaver af Android-styresystemet, hvor noget er sikkert og noget er usikkert.
Og telefonerne er traditionelt blevet patched i forskelligt tempo, alt efter hvilken hardwareproducent, apparatet kommer fra. Samtidig er der nogen telefoner, der aldrig modtager patches.
Stagefright fik flere producenter til at melde ud, at de nu ville blive bedre til at vedligeholde deres apparater på sikkerhedsfronten.
Google selv har siden august 2015 udsendt månedlige opdateringer til nyere udgaver af virksomhedens Nexus-enheder. August-opdateringen, der rettede de oprindelige Stagefright-sårbarheder, har Google gjort tilgængelig for virksomhedens Android-partnere i slutningen af juni og tidligere.
Det kan man læse mere om under Android-sikkerhedsbulletinen for august.
Whitepaper
Anledningen til at udgive en trusselsvurdering i forhold til Stagefright her i april 2016 er ifølge CFCS et whitepaper fra marts, som beskriver hvordan sårbarheden kan udnyttes.
»Det skal dog bemærkes, at dette whitepaper ikke er et færdigt exploit, som kriminelle umiddelbart kan anvende til et angreb. Det er en analyse af de mulige metoder, som kan anvendes for at udnytte sårbarheden. Der udestår således et større arbejde, som kræver personer med ekspertviden indenfor området, før deciderede angreb kan udføres,« står der i trusselsvurderingen fra CFCS.
Virksomheden Zimperium, der opdagede sårbarheden, har tilbage i august 2015 udgivet et proof-of-concept, for at demonstrere Stagefright-problemerne.
Det er værd at bemærke, at det ikke er en såkaldt weaponized udgave. Altså koden har ikke uden videre kunnet bruges til at angribe et apparat med. Derudover er det værd at bemærke, at tekniske informationer om sikkerhedshuller i Android-styresystemet - både i relation til Stagefright og andet - løbende bliver gjort tilgængelige i form af koderettelser til open source-delen af Android.
Det vil sige, at det gennem længere tid faktisk har været muligt at tilgå tekniske oplysninger om Stagefright-problemerne i Android, hvilket i princippet har kunnet bruges af folk med den rette indsigt og slette intentioner til at opnå uautoriseret adgang til enheder, som af den ene eller den anden grund ikke har været tilstrækkeligt opdaterede.
Hvorom alting er, så er vurderingen fra CFCS som følge af whitepaperet fra marts, at det nu er sandsynligt, at Stagefright vil blive forsøgt udnyttet i løbet af de kommende måneder. Men, lyder det i vurderingen, truslen fra udnyttelse af sårbarheden er lav.
ASLR
Det begrundes i sikkerhedsvurderingen fra CFCS med, at der i nyere udgaver af Android er implementert Address Space Layout Randomization. ASLR tildeler kort fortalt tilfældige områder i hukommelsen til processer, så det er vanskeligt for en angriber at lave et angreb, der kan udnyttes generelt på tværs af enheder.
»Sårbarhederne findes i Android versionerne 2.2 til 5.1, som udgør 98 procent af de Android versioner som er i brug. I versionerne 4.0 til 5.1 er der imidlertid implementeret en sikkerhedsfunktion, som gør det vanskeligere at udnytte sårbarhederne. Denne sikkerhedsfunktion kaldes ASLR (Address Space Layout Randomization), og betyder, at angreb skal tilpasses den specifikke smartphone-model for at være effektivt. Android versionerne 4.0 til 5.1 anvendes i dag i omkring 95 procent af Android-enhederne,« står der i trusselsvurderingen, som tilføjer:
»Den seneste Android version 6.0 indeholder ikke 'Stagefright' sårbarheden.«
Desuden bemærker CFCS i rapporten, at Zimperium har udgivet app'en 'Stagefright Detector', som kan undersøge om en specifik Android-enhed skulle være sårbar i relation til sårbarhederne.
»Da sårbarheden er teknisk vanskelig at udnytte i praksis for 95 procent af Android-enhederne i brug, og da Google har udgivet sikkerhedsopdateringer mod sårbarheden, som er på vej til, eller allerede er udsendt til slutbrugerne, er inficering via denne sårbarhed ikke sandsynlig, hvis slutbrugeren følger de almindelige retningslinjer for sikker brug af smartphones, som angivet nedenfor,« står der i vurderingen.
Generelle råd
CFCS-rapporten slutter med en stribe generelle forholdsregler, der skal mindske risikoen for, at en tablet eller smartphone bliver inficeret med malware.
- Undlad at besøge ukendte hjemmesider, eller hjemmesider du ikke har tillid til.
- Undlad at klikke på links som du modtager via e-mail, sms eller MMS, fra personer du ikke kender eller har tillid til.
- Undlad at installere apps fra andre kilder end de officielle, ”Google Play” for Android, og ”App Store” for iPhone. Man bør sætte sin smartphone op, så den kun accepterer download af apps fra disse kilder.
- Installer altid de sikkerhedsopdateringer som udsendes til din smartphone eller tablet, og konfigurer din enhed til automatisk at hente opdateringer.
- Installer en anerkendt antivirus app på din smartphone eller tablet.
Og specifikt i forhold til Stagefright lyder anbefalingen fra CFCS:
- Deaktiver automatisk hentning af MMS på din smartphone. Hvis du benytter flere apps til modtagelse af MMS beskeder, skal funktionen deaktiveres på dem alle. Efter deaktivering af automatisk hentning af MMS, vil du fremover få en notifikation om accept af download, hver gang du modtager en MMS. Her skal du naturligvis også følge de generelle forholdsregler, og kun downloade MMS’er fra personer du har tillid til.
Kom gratis med til Danmarks største IT-sikkerhedsevent!
Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
