За год в Android Stagefright найдено 115 уязвимостей

Прошёл полный год с момента скандального доклада Джошуа Дрейка из компании Zimperium, в котором было обнародовано несколько уязвимостей Stagefright — компонента Android, отвечающего за обработку медиа-данных. Как оказалось по итогам прошедшего года, в Zimperium лишь открыли ящик Пандоры, и основной массив уязвимостей был обнаружен позднее.

Первая группа уязвимостей в Stagefright была презентована на конференции Black Hat 2015 и произвела настоящий фурор. Возможность получить права суперпользователя, гарантирующие злоумышленнику полный контроль над системой, без ведома пользователя с помощью обычной картинки или видео-файла была действительно необычным вектором атак в сегменте мобильных систем. Огласка была столь широкой, что Google, ранее исправлявшая уязвимости в рамках Open Handset Alliance в тесном кругу партнёров, перешла на общепринятые стандарты поведения в случае обнаружения дефектов безопасности — компания начала публиковать бюллетени с подробным описанием каждой уязвимости и присвоением идентификационного CVE-номера. Раньше такая практика у Google относилась только к уязвимостям, публично обнаруженным на конкурсе Pwn2Own.

Джошуа Дрейк презентует уязвимости Stagefright

В рамках этих бюллетеней Google опубликовала информацию и патчи для 115 уязвимостей, имеющих отношение к компоненту Stagefright, из которых 49 было обнаружено в самой программной библиотеке libstagefright, 35 — в связанной библиотеке libmedia и ещё 31 — в библиотеках, от которых зависит libstagefright. Для Джошуа Дрейка, первооткрывателя одного из самых уязвимых компонентов Android за историю системы, такое количество дефектов стало большим сюрпризом. В интервью изданию eWeek он заявил, что ожидал довольно рутинного единоразового внесения необходимых исправлений, но для него стало неожиданностью, что проблема продолжает быть актуальной уже целый год. Впрочем, он отметил, что Google сделала верное решение, полностью изменив архитектуру взаимодействия Stagefright с медиаданными в Android Nougat, фактически устранив проблему на корню, но теперь вступает в дело вечный вопрос в Android-экосистеме — когда и какие устройства получат эту версию системы.

На вопрос о том, насколько сильно стоит бояться уязвимостей в Stagefright, господин Дрейк отметил, что относиться к ним пользователям стоит со всей серьёзностью и следить за тем, чтобы их устройства получали необходимые обновления безопасности, насколько это возможно. Кроме того, он отметил, что как ни странно, фрагментация Android играет в случае Stagefright на пользу потребителя — дело в том, что устройства разных производителей ведут себя по-разному, и разработка универсального эксплойта в текущих условиях является практически нерешаемой задачей. Причин тому много — от собственных улучшений безопасности от некоторых производителей до банальных ошибок, допущенными программистами производителей, в прошивке, которые ведут к непредсказуемой работе кода, в том числе вредоносного. По данным Zimperium злоумышленники пользуются уязвимостями Stagefright, но они не получили массового распространения и использовались только в таргетированных атаках.