Metaphor, další chyba ve Stagefright ohrožuje 275 milionů zařízení s Androidem

Chyba v mediálním serveru Stagefright v mobilním operačním systému Google Android se objevila v minulém roce a nyní skupina izraelských výzkumníků ve společnosti NorthBit objevila další možnost, jak zneužít tento software ke spuštění nežádoucího kódu. Stačí navštívit stránku, které pošle video soubor schopný shodit Stagefright a nechat jej restartovat do výchozího stavu. Kód v JavaScriptu na stránce čeká na restartování serveru a pošle informace o telefonu na stránky útočníka. Následně je vygenerováno video, které dokáže opět zjistit více informací o zařízení a poslední video pak dokáže Stagefright využít ke spuštění nežádoucího kódu.
Konkrétně jde o nalezení lokace knihoven libc.so a libicui8n.so. Chyba postihuje Android od 2.x do verze 4.0 a pak také verze 5.0 až 5.1, přestože ty jsou vybaveny technologií ASLR (Address Space Layout Randomisation), která by měla zabránit tomu, aby se útočník dozvěděl rozsah paměťových adres, kde jsou tyto knihovny. Celkově se problém týká přibližně 235 milionů zařízení s Androidem 5.0 až 5.1 a přibližně 40 milionů přístrojů s Androidem 2.x až 4.0. Google patrně brzy přijde s opravou, nicméně zásadním problémem je to, že u Androidu výrobci telefonů a tabletů přichází s bezpečnostními opravami až za delší dobu, pokud vůbec.

Zdroj: exploit-db.com, pcworld.com