Stagefright-sårbarhed lever videre trods opdatering fra Google

17. august 2015 kl. 16:356
Google har forsøgt at patche Stagefright-sårbarheden, der påvirker millioner af enheder, blot de modtager en mms. Men der er stadig fejl i et medie-bibliotek, som gør enhederne sårbare.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Som bekendt kom det forleden frem i forbindelse med Black Hat-sikkerhedskonferencen, at en sårbarhed kaldet Stagefright i Android betyder, at en enhed eksempelvis kan kompromitteres ved at sende den en særligt udformet mms-besked.

Google kørte patches ind i Android-koden, som nu er ved at blive sendt ud til flere enheder. Og mobilproducenter meldte ud, at de nu vil lave regelmæssige sikkerhedsopdateringer til det ellers sporadisk opdaterede styresystem.

Nu viser det sig, at Googles koderettelser til Android faktisk ikke lukker hullet helt. Det fremgår af en teknisk gennemgang af en af rettelserne i et blogindlæg fra it-sikkerhedsfirmaet Exodus Intelligence. Det kan flere medier berette, herunder eWeek.

Blogindlægget hos Exodus er fra 13. august. Her fortæller virksomheden blandt andet, at man har gjort Google opmærksom på, at de rettelser, der nu bliver sendt ud, ikke fikser problemet helt.

Artiklen fortsætter efter annoncen

I kølvandet på offentliggørelsen af Stagefright, der involverer flere sårbarheder i frameworket libstagefright i Android, blev flere patches udarbejdet og godtaget af Google. Heriblandt en patch mod en sårbarhed kaldet CVE-2015-3824.

Patchen retter blot fire kodelinjer, skriver Exodus i bloggen. Men omkring 31. juli fandt en ekspert ved firmaet, Jordan Gruskovnjak, ud af, at den foreslåede patch til CVE-2015-3824 nok ikke løste problemet helt alligevel.

Da Google rullede den patched Android-kode ud til Nexus 5, kunne Jordan Gruskovnjak bekræfte, at sårbarheden ikke var patched.

Exodus gjorde Google opmærksom på problemet 7. august, men havde endnu, da blogindlægget med de tekniske detaljer om sårbarheden blev frigivet 13. august, ikke hørt tilbage.

Artiklen fortsætter efter annoncen

Exodus fortæller, at firmaet har valgt at offentliggøre detaljerne af flere årsager.

Blandt andet fordi det oprindelige problem - altså Stagefright - blev rapporteret til Google for over 120 dage siden. Hvilket er et godt stykke over de 90 dage, Google tidligere har meldt ud, at virksomheden vil vente med at offentliggøre viden om exploits i andres produkter.

Derudover påpeger Exodus, at den fejlfyldte patch - altså den, der ikke lukker CVE-2015-3824 - stadig bliver distribueret. Og at andre sandsynligvis også vil finde frem til den nuværende sårbarhed efter den opmærksomhed, som Stagefright ellers har modtaget.

Exodus har fået oplyst af Google, at Android-virksomheden har givet den nyopdagede sårbarhed benævnelsen CVE-2015-3864

Artiklen fortsætter efter annoncen

Blogindlægget slutter i et slags filosofisk hjørne, hvor forfatterne Jordan Gruskovnjak (som har stået for det tekniske) og Aaron Portnoy (der har stået for det kommenterende) bemærker, at Google har et stort hold it-sikkerhedsfolk. Faktisk så stort, at de har tid til at auditere andre leverandørers kode og holde dem op på, at de skal fikse sårbarheder inden 90 dage.

Og hvis Google - set i det lys - ikke selv magter at lukke en blotlagt sårbarhed, som påvirker deres egne kunder, 'hvilket håb har resten af os så?', slutter blogindlægget.

Google nedtoner ny sårbarhed

eWeek fortæller i en artikel om problemet bragt 15. august, at Google 14. august har frigivet en patch til CVE-2015-3864 i open source-koden til Android-systemet. En sårbarhed, som Google desuden i en mail til eWeek nedtoner alvorligheden af.

»For øjeblikket har over 90 procent af Android-enheder en teknologi kaldet ASLR (Address Space Layout Randomization) aktiveret, som beskytter mod denne sårbarhed,« skriver Google i en udtalelse til eWeek og fortsætter:

»Vi har allerede sendt en rettelse til vores partnere for at beskytte brugerne, og Nexus 4/5/6/7/9/10 og Nexus Player får en OTA (Over the Air) opdatering i den månedlige sikkerhedsopdatering til september.«

Det oprindelige firma bag opdagelsen af Stagefright, Zimperium, har lavet en app, 'Stagefright Detector App', der kan fortælle, om en Android-telefon lider af Stagefright. Denne app detekterede oprindeligt ikke den nye sårbarhed, CVE-2015-3864.

Af Exodus' blogindlæg fra 13. august fremgår det desuden, at virksomheden har været i kontakt med Zimperium i forhold til at opdatere detekterings-appen, så den også fanger CVE-2015-3864

Af en lille test, Version2 har fået foretaget på en Nexus 5-enhed i Danmark, tyder noget på, at appen nu er opdateret til også at fange CVE-2015-3864. Det er i hvert fald den eneste af i alt syv sårbarheder, der stadig står åben på Nexus-enheden, som modtog en opdatering fredag 14. august.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
20. oktober 2015 kl. 14:57

Den 20. oktober 2015 fik Samsung endelig taget sig sammen til at lukke den sidste Stagefright fejl som Zimperiums detektor app kender til. I alle tilfælde på min Samsung S6.

4
18. august 2015 kl. 14:43

Være for at man skal købe ny hardware for at få sikker software (ifht stagefright) ?

Hvis man nu kender nogen med en Android tlf som man gerne vil ha ikke er sårbar overfor det her sikkerhedshul ?

2
Indsendt af David Askirk Fotel (ikke efterprøvet) den tir, 08/18/2015 - 08:43

Er ikke sårbar.

1
17. august 2015 kl. 18:56

Min Nexus 9 er sårbar overfor CVE-2015-3864. Min Samsung S6 er sårbar overfor CVE-2015-3864 og CVE-2015-3827.

Med hensyn til -3827 så forstår jeg ikke hvordan den kan være immun overfor de resterende Stagefright sårbarheder men stadig sårbar overfor denne.