Security Week 32: Android Stagefright, новые автодыры, Do Not Track 2.0

    Каких-то 23 года назад Microsoft выпустила операционную систему Windows 3.1, Apple показала свой первый айфон КПК, а Линус Торвальдс зарелизил Linux под GNU. Евгений Касперский выпустил книгу с подробным описанием почти всех известных на тот момент вирусов и методов их лечения, в том числе с помощью антивирусной программы, известной тогда под именем –V. Ландшафт угроз тогда был таков, что можно было подробно описать вообще все вирусы в достаточно небольшой книжке, причем даже через пару лет она оставалась весьма актуальной.

    Хорошие были времена. Сейчас таких же вредоносных программ появляется по 325 тысяч каждый день, а индустрия чуть ли не каждую неделю ставится перед новым доказательством какого-то систематического провала в области безопасности по всем фронтам – от машин и скейтбордов до атомных электростанций. Это и плохо, и хорошо одновременно: чем больше людей задумается о безопасности данных, бизнеса и даже собственной жизни, немало зависящей от компьютеров, тем быстрее все поменяется к лучшему.

    А пока «откиньтесь на спинку кресла и расслабьтесь», наблюдая за развитием событий. С этого момента каждую пятницу в блоге «Лаборатории» — подборка из трех по-настоящему важных новостей за неделю с обширным комментарием и трололо. Новости аккуратно подобраны редакцией новостного сайта Threatpost.

    Stagefright: дыра в Android, которая пока ничего не изменила
    Новость. Реакция Google. CERT Advisory.

    «Дыра – хуже некуда», пишет Wired, и, конечно, ошибается – может быть и хуже. Главное отличие данной уязвимости от, например, Heartbleed и Shellshock заключается в том, что клевое имя придумывать не пришлось, Stagefright – название встроенного в Anrdoid движка для воспроизведения аудио и видео, являющегося частью Android Open Source Project. Технически, это целый набор уязвимостей (раскопавшие проблему эксперты компании Zimperium зарезервировали под нее целых 7 ID в базе CVE), в основном связанных с ошибками переполнения буфера.


    Вот тут.

    Задача движка – воспроизводить различные звуки и видеоролики, причем как верно подметили в ZDNet, он сделан так, чтобы «ваш телефон был готов показать видео еще до того, как вы сами это захотите». Добавим к этому тот факт, что по каким-то непонятным причинам все эти задачи, в ряде случаев, выполняются с уровнем доступа «бог». Впрочем, причины понятны – так было проще кодить. В любом случае, выскочить из «песочницы» Android, направленной как раз на защиту от таких фокусов, оказалось не так уж трудно.

    В результате получаем прелестный proof of concept: отправляем на телефон MMS, ну, и собственно все. Нет, открывать «заряженное» MMS не надо: телефон сломает себя сам, ибо он сделан так для удобства пользователя. Все плохо? Не совсем. Во-первых, в версиях Android от 4.1 и выше устроить вакханалию мешает технология Address Space Layout Randomization – «частично снимает проблему». Во-вторых, следуя правилам ответственного раскрытия информации об атаках, Zimperium не стала публиковать код эксплойта. Впрочем, благодаря опубликованным патчам и так все понятно.

    Интересна реакция Google. Краткое содержание поста в официальном блоге Android, посвященного проблеме, примерно следующее: «У нас все прекрасно. Наш sandbox – он вообще очень крутой. Только на пятнадцати сотых процента всех Android-устройств установлено вредоносное приложение (тут много звездочек, мелкого шрифта и оговорок). Но чтобы все было вообще шоколадно, устройства Nexus с этого момента будут получать ежемесячные security-апдейты». Это, черт возьми, прекрасно, но что насчет всех остальных смартфонов и планшетов? Инициатива Google в общем-то никак не помогает решить проблему фрагментации Android-устройств, с извечными задержками в обновлении новых устройств на последнюю версию ОС, и хроническим необновлением устройств старых. К счастью, о своем желании обновлять смартфоны и планшеты чаще, по крайней мере когда речь идет о безопасности, объявили также HTC, Samsung, Sony, LG и еще парочка производителей. Правда тут уже все немного в тумане: пока ясно, что какие-то устройства, когда-то получат апдейт. Может быть.

    Если мы себя будем хорошо вести. Но вообще это хороший знак. Рано или поздно Android может получить механизм обновлений, аналогичный методике Patch Tuesday у Microsoft. Ведь не далее как год назад тот же Адриан Людвиг, главный в Google по безопасности Android, вообще говорил, что с безопасностью там все прекрасно, и надо лишь немного допилить Google Play. То есть Stagefright, возможно, приведет к реально полезным изменениям. Ну, мы все типа надеемся и верим, что изменения будут. А что еще остается делать?

    Продолжаем ломать автомобили
    Новость. Предыдущая новость.

    На прошлой неделе произошло эпохальное событие: выпущен первый критический патч для автомобиля. Точнее для развлекательной системы Uconnect автомобилей концерна Fiat Chrysler, которая (а) позволяла управлять вовсе даже неразвлекательными функциями (а точнее позволяла отправить машину в кювет) и (б) принимала входящие подключения через сотовую связь. Не могу в связи с этим не процитировать этот правильный крик души:


    Зачем автомобиль вообще позволяет подключаться к себе снаружи? Почему магнитола может управлять зажиганием? Почему это должен раскрывать какой-то чувак с айфоном?

    Угу. Но это было на прошлой неделе. На этой нашли не столь эпичную дыру, но тоже интересную. Вот представьте, что вы находитесь в солнечной Испании. Или в Болгарии. Или в Греции, не важно. Вы арендовали в аэропорту автомобиль, приехали на пляж, и пошли плавать. Пока вы плещетесь, кто-то может украсть ключи от авто. В обычной ситуации это бы мало чем помогло вору: поди найди машину среди сотен других. Но так как машина арендованная, на ваших ключах есть бирка с моделью и госномером.

    В общем, купайтесь в бассейне у отеля. Независимый исследователь Сами Камкар обнаружил, что подобный сценарий возможен, если вы пользуетесь мобильным приложением OnStar RemoteLink, позволяющим находить местоположение и даже удаленно открывать двери у автомобилей концерна GM. Камкар создал чудо-девайс, который позволяет перехватывать запросы от мобильного аппа к автомобилю, просто находясь рядом с владельцем.



    В этой истории, в общем-то, не так все и плохо: исследователь утверждает, что проблема именно в приложении, а не в самих автомобилях, и простой апдейт закроет уязвимость. Важный момент тут вот в чем. Многие знакомы с мультимедийными системами современных авто: они почти как Android или iOS, тоже есть тачскрин, иногда интернет и всякие мультимедийные штуки, только все это в тысячу раз хуже: медленно, глючно и уныло. Еще раз процитирую Wired: в сравнении с Android, мультимедийные системы от самих автопроизводителей – «полнейшний отстой». Почему? Просто все эта развлекательно-навигационные штуки развиваются слишком стремительно, по меркам довольно консервативной автоиндустрии, она не поспевает.

    И за безопасностью автозаводы не поспевают тоже. Баг в Uconnect, с нашей точки зрения – это же полнейший фейспалм. И кроме того, когда ты делаешь что-то новое, ты в последнюю очередь думаешь о безопасности, потому что кодить «опасно» — это дешево и просто. Отсюда и получаются удаленные атаки на стартер с маслонасосом. Автомобили пока спасает относительная изолированность их технологий от компьютерного мира, но со временем именно она станет их самым главным уязвимым звеном: взломают там, где никто не ожидал, а дальше никакой защиты просто не будет, твори что хочешь.

    Как перестать следить и получать удовольствие от жизни
    Новость. Статья на сайте EFF.

    Механизм Do Not Track поддерживается всеми основными браузерами, но, к сожалению, не работает. А идея была неплохая: если ты, пользователь, не желаешь, чтобы за тобой следили баннерные и соцсети, всякие исследователи интернета и счетчики, гугл и прочие, поставь галочку в настройках и радуйся вновь обретенной приватности.



    Ага, конечно. Уже десять лет эту идею продвигают, а воз и ныне там. Продолжайте смотреть рекламу товаров, которые вы уже купили, от магазина, в котором вы их купили. А вся проблема в том, что индустрия не может толком договориться о практике применения Do Not Track и уважении пользователей, не желающих, чтобы за ними следили. EFF видит решение в обновленном стандарте, в котором требования к веб-сайтам, уважающим принцип «не следи за мной», ужесточаются. Например, если вы анонсируете, что следуете принципам Do Not Track, не надо ставить на сайт кнопки соцсетей, которые эти принципы нарушают. Если у вас есть техническая необходимость отследить действия пользователя (для совершения покупки, авторизации и подобного) – запросите разрешение.

    Новые требования, впрочем, остаются добровольными, без каких-либо инструментов контроля за соблюдением правил. В Electronic Frontier Foundation уповают на то, что (в некоторых странах) добровольное взятие на себя обязательств с последующим нарушением может стать поводом для судебного иска. А может и не стать. В анонсе новых политик честно говорится: может помочь от таргетированной рекламы, но для реального анонимного веб-серфинга все же надо использовать то ли VPN, то ли TOR.



    Усугубляется эта проблема еще и тем, что большинству людей, в общем-то, без разницы, следят за ними или нет. Правила Do Not Track обсуждаются довольно узкой группой активистов, и за пределами этой группы мало кто позаботится о том, чтобы поставить в настройках браузера еще одну галочку. А зря. Тут дело даже не в том, что большие злые корпорации хотят за вами массово следить. Новые технологии, такие как голосовой помощник Cortana в Microsoft, или Google Now, или Siri от Apple, чтобы быть реально полезными и удобными, собирают и обрабатывают тонну информации о владельце устройства – потому что это необходимо. В результате параноикам теперь строго запрещено читать лицензионное соглашение Windows 10, где все эти нюансы, конечно, прописаны суровым юридическим языком. То, что нашим устройствам надо много о нас знать, чтобы нам же было удобно – это нормальное положение вещей. Но чем больше информации о нас собирают компании, тем важнее работа той небольшой группы людей, что хочет, без фанатизма (!), предусмотреть возможность ограничений на сбор данных до самого необходимого минимума.

    Что еще произошло:
    Поломали BIOS маков. Уже не первый раз, впрочем.

    Какие-то люди рассылают шифровальщик вместо обновления до Windows 10.

    В Китае обнаружили VPN-сервис, который помимо своих серверов использует еще и взломанные компьютеры для снижения затрат криминальной активности.

    Древности
    Семейство «Protect»
    Опасные резидентные вирусы, стандартно поражают COM- и EXE-файлы при их запуске на выполнение. Перехватывают int 21h и int 1Ch или int 33h в зависимости от версии. Содержат текст: «File protection». «Protect-1157» снимает атрибуты файлов и блокирует работу мыши. «Protect-1355» проявляется на EGA и VGA мониторах мелким и очень противным дрожанием экрана.

    Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 44.

    Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
    • +17
    • 11.4k
    • 3
    «Лаборатория Касперского»
    387.45
    Ловим вирусы, исследуем угрозы, спасаем мир
    Support the author
    Share post

    Comments 3

      0
      Хм. Забавно.
      Скажите, а насколько реально реализовать такие обновления безопасности для андроид при обилии различных версий от разных производителей?
        0
        Ну Microsoft же реализовал единые обновления для Windows Phone.
        Да, я знаю, что там тоже все очень криво. Что на старые устройства тоже забивают. Что часто там никто не обновляет.
        И вообще. Но получается, что сделать можно.

        Если вернуться к реальности, получается, что у линейки Nexus появляется некоторое конкурентное преимущество по безопасности. Так вот я надеюсь, что остальные производители это постараются не допустить (то есть будут обновлять ежемесячно сами). Тогда ситуация (не сразу) станет несколько лучше.
        +2
        Security Week — отличный формат!

        +1, даже несмотря на субьективно негативное отношение к К.

        Only users with full accounts can post comments. Log in, please.