Stagefright-sårbarhed lever videre trods opdatering fra Google

Google har forsøgt at patche Stagefright-sårbarheden, der påvirker millioner af enheder, blot de modtager en mms. Men der er stadig fejl i et medie-bibliotek, som gør enhederne sårbare.

Som bekendt kom det forleden frem i forbindelse med Black Hat-sikkerhedskonferencen, at en sårbarhed kaldet Stagefright i Android betyder, at en enhed eksempelvis kan kompromitteres ved at sende den en særligt udformet mms-besked.

Google kørte patches ind i Android-koden, som nu er ved at blive sendt ud til flere enheder. Og mobilproducenter meldte ud, at de nu vil lave regelmæssige sikkerhedsopdateringer til det ellers sporadisk opdaterede styresystem.

Læs også: Mobilgiganter reagerer prompte på sikkerhedsbrist: lover månedlige sikkerhedsopdateringer

Nu viser det sig, at Googles koderettelser til Android faktisk ikke lukker hullet helt. Det fremgår af en teknisk gennemgang af en af rettelserne i et blogindlæg fra it-sikkerhedsfirmaet Exodus Intelligence. Det kan flere medier berette, herunder eWeek.

Blogindlægget hos Exodus er fra 13. august. Her fortæller virksomheden blandt andet, at man har gjort Google opmærksom på, at de rettelser, der nu bliver sendt ud, ikke fikser problemet helt.

I kølvandet på offentliggørelsen af Stagefright, der involverer flere sårbarheder i frameworket libstagefright i Android, blev flere patches udarbejdet og godtaget af Google. Heriblandt en patch mod en sårbarhed kaldet CVE-2015-3824.

Patchen retter blot fire kodelinjer, skriver Exodus i bloggen. Men omkring 31. juli fandt en ekspert ved firmaet, Jordan Gruskovnjak, ud af, at den foreslåede patch til CVE-2015-3824 nok ikke løste problemet helt alligevel.

Da Google rullede den patched Android-kode ud til Nexus 5, kunne Jordan Gruskovnjak bekræfte, at sårbarheden ikke var patched.

Exodus gjorde Google opmærksom på problemet 7. august, men havde endnu, da blogindlægget med de tekniske detaljer om sårbarheden blev frigivet 13. august, ikke hørt tilbage.

Exodus fortæller, at firmaet har valgt at offentliggøre detaljerne af flere årsager.

Blandt andet fordi det oprindelige problem - altså Stagefright - blev rapporteret til Google for over 120 dage siden. Hvilket er et godt stykke over de 90 dage, Google tidligere har meldt ud, at virksomheden vil vente med at offentliggøre viden om exploits i andres produkter.

Derudover påpeger Exodus, at den fejlfyldte patch - altså den, der ikke lukker CVE-2015-3824 - stadig bliver distribueret. Og at andre sandsynligvis også vil finde frem til den nuværende sårbarhed efter den opmærksomhed, som Stagefright ellers har modtaget.

Exodus har fået oplyst af Google, at Android-virksomheden har givet den nyopdagede sårbarhed benævnelsen CVE-2015-3864

Blogindlægget slutter i et slags filosofisk hjørne, hvor forfatterne Jordan Gruskovnjak (som har stået for det tekniske) og Aaron Portnoy (der har stået for det kommenterende) bemærker, at Google har et stort hold it-sikkerhedsfolk. Faktisk så stort, at de har tid til at auditere andre leverandørers kode og holde dem op på, at de skal fikse sårbarheder inden 90 dage.

Og hvis Google - set i det lys - ikke selv magter at lukke en blotlagt sårbarhed, som påvirker deres egne kunder, 'hvilket håb har resten af os så?', slutter blogindlægget.

Google nedtoner ny sårbarhed

eWeek fortæller i en artikel om problemet bragt 15. august, at Google 14. august har frigivet en patch til CVE-2015-3864 i open source-koden til Android-systemet. En sårbarhed, som Google desuden i en mail til eWeek nedtoner alvorligheden af.

»For øjeblikket har over 90 procent af Android-enheder en teknologi kaldet ASLR (Address Space Layout Randomization) aktiveret, som beskytter mod denne sårbarhed,« skriver Google i en udtalelse til eWeek og fortsætter:

»Vi har allerede sendt en rettelse til vores partnere for at beskytte brugerne, og Nexus 4/5/6/7/9/10 og Nexus Player får en OTA (Over the Air) opdatering i den månedlige sikkerhedsopdatering til september.«

Det oprindelige firma bag opdagelsen af Stagefright, Zimperium, har lavet en app, 'Stagefright Detector App', der kan fortælle, om en Android-telefon lider af Stagefright. Denne app detekterede oprindeligt ikke den nye sårbarhed, CVE-2015-3864.

Af Exodus' blogindlæg fra 13. august fremgår det desuden, at virksomheden har været i kontakt med Zimperium i forhold til at opdatere detekterings-appen, så den også fanger CVE-2015-3864

Af en lille test, Version2 har fået foretaget på en Nexus 5-enhed i Danmark, tyder noget på, at appen nu er opdateret til også at fange CVE-2015-3864. Det er i hvert fald den eneste af i alt syv sårbarheder, der stadig står åben på Nexus-enheden, som modtog en opdatering fredag 14. august.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere