Новая версия уязвимости Stagefright, как оказалось, присутствовала во всех смартфонах с самой первой версии ОС Android 1.0 вплоть до Android 5.1.1. Stagefright 2.0 — это две ошибки в библиотеке libstagefright. Используя обе эти ошибки вместе, злоумышленник имеет возможность получить контроль над устройством.
Схема действия проста. На мобильное устройство загружается модифицированный MP3 или MP4-файл, содержащий вредоносный код. Пользователь может даже не заметить, как он оказался на устройстве. Например, в случае взлома конкретного сайта вредоносный файл может оказаться на огромном количестве мобильных устройств.
Для запуска вредоносного кода нет необходимости открывать этот файл вручную. Реакция заражения начинается при анализе метаданных. Когда анализ затрагивает загруженный модифицированный файл, возникает ошибка.
В результате данной ошибки произвольный и, с большой долей вероятности, вредоносный код записывается в память устройства и позволяет получить несанкционированный доступ, например, к камере, микрофону, данным переписки и даже к встроенной памяти с возможностью извлекать и загружать различные данные.
Первая уязвимость Stagefright была обнаружена в апреле этого года. Тогда стало известно, что злоумышленник мог получить доступ к устройству посредством MMS-видеофайла, который также запускал цепную реакцию заражения. Однако для отправки вредоносного сообщения необходимо было знать телефонный номер конкретного устройства. Новая версия уязвимости этого не требует.
«Потенциально Stagefright 2.0 способен причинить немало вреда, поскольку затрагивает очень существенное количество устройств и их мобильного программного обеспечения, — рассказал «Газете.Ru» руководитель аналитического центра компании Zecurion Владимир Ульянов. — Но я бы не стал преувеличивать опасность уязвимости. Результат атаки наверняка будет существенно ниже ожиданий. Я не думаю, что в мире наберется больше нескольких десятков тысяч зараженных устройств».
Эксперт полагает, что ранее фиксировались и более серьезные угрозы безопасности мобильных устройств. Так, уязвимость переполнения буфера в криптографическом ПО OpenSSL позволяла получить криптоключи и затронула многие критически важные элементы инфраструктуры, например банковские системы. Это несло в себе гораздо большую опасность, чем случай со Stagefright 2.0.
При этом Ульянов отмечает, что стопроцентного метода определения того, что вы подверглись кибератаке, не существует. Четвертая версия Android установлена примерно на 70% мобильных устройств на базе этой платформы, поэтому необходимо вовремя установить обновление.
«Google обычно отличается быстрой реакцией на жалобы сторонних разработчиков и пользователей, — говорит эксперт. — Но если компания почему-то не хочет устранять проблему, то решение вопроса может затянуться. Например,Google уже довольно давно просят не загружать одновременно все вкладки в браузере Chrome, но ничего не меняется».
Чтобы проверить, подвержено ли Android-устройство уязвимости Stagefright, существуют специальные утилиты. Так, в Play Маркет можно найти приложения Zimperium Stagefright detector и Eset Stagefright detector, которые проанализируют вероятность заражения того или иного устройства, однако они не предлагают возможность избавиться от данной уязвимости.
Если антивирус на смартфоне обновлен, он зафиксирует попытку внедрения вредоносной программы, однако если уязвимость эксплуатировалась ранее, то он ничего не покажет.
«Антивирус может отследить вредоносное ПО, но не покажет саму «дверь», через которую вошел злоумышленник, — говорит Ульянов. — Также троян может быть написан индивидуально для взлома, тогда антивирус его не определит, и я бы сильно на него надеяться не стал».
Лучшим способом защиты, по мнению эксперта, будет не хранить критическую информацию на устройствах. Мобильный банк — это, конечно, очень удобно, но небезопасно, и лучше использовать отдельные простые защищенные устройства для операций с деньгами.
Также необходимо следить за регулярными обновлениями ПО. Чтобы попасть в «первую волну» эксплуатации уязвимости, надо обладать особой неудачей. Массово проблемы начинаются, если про угрозу известно давно, но либо производителем софта не были приняты меры, либо пользователи не обновили свои версии ОС.
«Антивирусное ПО — тоже половинчатое решение, — считает Ульянов. — Дело в том, что антивирусы в основном реактивны, то есть работают с существующим вредоносным ПО. А проактивные методы, то есть работа с потенциальными угрозами, — вероятностны, и если их ужесточить, то будет много ложных срабатываний».
В целом эксперт считает, что у всякой компании бывают уязвимости в ПО и вряд ли это сильно скажется на репутации Android и ее рыночной доле. Если система в целом устраивает пользователей, то от нее вряд ли откажутся производители и вендоры. «Это уже не первый случай возникновения угроз, и кардинально они на платформу Google не повлияли», — подытожил Ульянов.
Алексей Короткин, Дмитрий Шестоперов