Sony Mobile maner til ro trods blodrød sårbarheds-detektor: Det er falsk alarm
Har du en Sony-telefon og kører programmet Stagefright Detector fra Zimperium, så kan det se ud til, at din telefon er ramt af den berygtede Stagefright-sårbarhed, selvom den faktisk ikke er det. Sådan lyder i hvert fald udlægningen fra Sony.
Sikkerhedsmanden, der fandt sårbarheder i Androids stagefright-bibliotek, er knap så sikker.
Som det vil være en del Version2-læsere bekendt, blev en stribe sårbarheder annonceret sidst i juli. De fik fællesbetegnelsen Stagefright, fordi de relaterer sig til mediebiblioteket stagefright i Android-platformen.
Biblioteket er hovedsageligt kodet i programmeringssproget C++, som ifølge et blogindlæg fra Zimperium er mere udsat i forhold til korruption af hukommelsen end eksempelvis Java.
Stagefright må siges at være i kategorien 'rigtig led', fordi samlingen af sårbarheder gør en angriber i stand til at opnå stort set uhindret adgang til en telefon - kamera etc. - blandt andet ved at sende en mms, som modtageren ikke engang behøver åbne.
Fremkomsten af Stagefright fik flere Android-leverandører til at bedyre, at de ville sende regelmæssige sikkerhedsopdateringer ud til deres telefoner.
Og det er godt det samme, for med sårbarheder som Stagefright kan det stort set kun gå for langsomt med at få lukket ned angreb.
Nylig opdatering fra Sony
Siden er der kommet flere opdateringer til Android-enheder fra forskellige leverandører. En af dem, der har opdateret telefoner er Sony, der inden for den seneste måneds tid, har sendt opdateringen 23.4.A.1.200 ud til blandt andet deres Z3-enheder.
Ifølge Sony Mobiles danske hjemmeside er der tale om den senest tilgængelige opdatering, og opdateringen er ifølge Sony Mobiles hjemmeside udgivet 23. september 2015.
Det bemærkes her, at der kan være forskel fra land til land og fra operatør til operatør i forhold til, hvornår opdateringen bliver tilgængelig på en enhed.
Problemerne Stagefright blev beskrevet i starten af august-måned i forbindelse med sikkerhedskonferencen Blackhat, fremgår det på Wikipedia.
I et blogindlæg fra slut juli fortæller Zimperium, at man har mistanke om, at Stagefright bliver aktivt udnyttet. I starten af september frigiver Zimperium proof-of-concept-kode i relation til en af sårbarhederne.
Længe inden - helt tilbage i april - gjorde Joshua Drake fra Zimperium Google opmærksom på problemerne i stagefright-biblioteket.
Opdateringen fra Sony er altså ankommet et godt stykke tid efter, detaljerne om hullerne i Stagefright har været offentliggjorte.
Alligevel ser det dog umiddelbart ikke ud til, at 23.4.A.1.200 har lukket Stagefright-sårbarhederne. I hvert fald ikke, hvis man bruger app'en Stagefright Detector fra Zimperium, som er det firma, der oprindeligt stod bag kortlægningen af nogle af stagefright-sårbarhederne.
Faktisk ser det ud til, at Sony-enheder, der har modtaget 23.4.A.1.200-firmware-opdateringen er sårbare over for endnu flere stagefright-sikkerhedshuller, end det var tilfældet med den foregående version af softwaren i telefonerne.
Hvilket flere brugere på blandt andet Sony Mobiles forum og på Twitter har bemærket.
Men sådan er det ikke, påpeger pressetalsmand og produktchef for Sony Mobiles nordiske og baltiske marked Rikard Skogberg. I en mail fortæller han, at Sony ifølge hans oplysninger faktisk har fikset de oprindelige Stagefright-sårbarheder med opdateringen.
»Problemet er, at mange af disse detektor-apps ikke rigtigt opfanger vores fixes, men i stedet fortolker dem, som om sårbarheden stadig er der - endda endnu mere end tidligere. Det skyldes dog en fejl i disse detektor-apps, snarere end at de faktisk sårbarheder er til stede,« skriver Rikard Skogberg.
Han henviser derudover til en officiel udmelding fra Sony Mobil i forhold til, at telefonerne altså ikke er sårbare, selvom apps som Stagefright Detector rapporterer det modsatte.
I den officielle udtalelse fra Sony Mobile står der, at virksomheden gerne vil berolige de kunder, der måtte være bekymrede over, at detekterings-apps viser, deres enheder skulle være sårbare over for Stagefright.
Der er også en forklaring på, hvorfor detekteringssoftwaren skulle vise, at telefonerne er sårbare, selvom de ifølge Sony altså ikke er det.
»Beskyttelses- og detektionssoftware bruger dummy-mediefiler til at afgøre om sikkerhedspatches er installeret. Vi har tilføjet et valideringstjek af mediefiler i firmwaren, som fejlagtigt bliver identificeret som crashes og sårbarheder af noget beskyttelsessoftware - vi beroliger til fulde alle vores kunder om, at sikkerhedsopdateringerne eliminerer enhver risici fra Stagefright-fejlen fra Xperia-enheder,« står der i udtalelsen, som også kan læses i Sony Mobiles forum her.
Manden bag opdagelsen af de oprindelige sårbarheder i Stagefright - der er sidenhen kommet flere til - Joshua J. Drake forholder sig også til Sony-opdateringen på Twitter. Han er ikke helt så sikker på, at Sony-telefonerne er beskyttede med opdateringen.
Han fortæller, at han har anskaffet sig en Z3C (Z3 Compact), men at de test, han har lavet på telefonen, ikke er endegyldige som følge af OEM-modifikationer. Altså ændringer i koden fra producentens side.
I et opfølgende spørgsmål fra Version2 tilkendegiver Drake, at han ikke med sikkerhed kan sige, hvorvidt Sony-enhederne er sårbare eller ej.
Stagefright 2.0
Udover den første omgang Stagefright kunne Zimperium forleden annoncere Stagefright 2.0. Version2 har spurgt Rikard Skogberg, hvorvidt Sonys enheder stadig er sårbare over for sårbarheden Stagefright 2.0. Her skulle telefoner kunne kompromitteres, hvis en bruger besøger en hjemmeside med særligt udformede mediefiler.
Rikard Skogberg fortæller, at han endnu mangler at høre fra Sonys ingeniører i relation til Stagefright 2.0.
I skrivende stund lader Sony Mobile til at være ved at udrulle endnu en opdatering til Z3-enhederne på det danske marked. Det drejer sig om 23.4.A.1.232, som er ankommet på redaktionens Z3 Compact, mens en anden enhed, Z3, endnu ikke har modtaget opdateringen og derfor stadig kører 23.4.A.1.200. Enhederne befinder sig på to forskellige operatørers netværk.
På Z3 Compact enheden viser en test med Stagefright Dectector, at kun en enkelt sårbarhed stadig er åben, det drejer sig om CVE-2015-6602, som er den ene af to Stagefright 2.0 sårbarheder.
På den ikke opdaterede Z3 er scenariet nærmest omvendt. Alle sårbarheder ser ud til at være åbne med undtagelse af CVE-2015-3876. Det er den anden af de to sårbarheder, der har fået fællesbetegnelsen Stagefright 2.0.
Men ifølge Sony Mobile skulle det noget dystre testresultat altså ikke være ensbetydende med, at telefonen er hullet som en si i relation til Stagefright.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
