To Android sårbarheter

Publisert: 12.08.2015

NSM NorCERT ønsker med dette å informere om to sårbarheter i mobil operativsystemet Android.

Sårbarhet i "Stagefright"- rammeverket i Androids operativsystem

Sårbarheten omtales i media som den hittil verste i Android. Avhenging av hvordan operativsystemet er konfigurert av produsenten vil de berørte enhetene kunne kjøre vilkårlig kode med fulle privilegier på media- eller systemnivå. Ved suksessfull utnyttelse vil angriper også kunne kjøre ekstern kode.

Stagefright rammeverket brukes som medieavspillingsplattform for operativsystemet, og kan også benyttes av utviklere som velger å bruke dette rammeverket i sine programmer.

En angriper kan utnytte sårbarhetene ved å levere en spesiallaget mediafil til et av programmene som utnytter Stagefright rammeverket. Applikasjoner som er spesielt utsatt for denne type utnyttelse er meldingstjenester som for eksempel:

  • Hangouts
  • Messages
  • Messenger
  • Nettlesere

Dette gjelder også forhåndsinstallerte applikasjoner i Android. Ved å ha aktivert automatisk nedhenting av MMS meldinger (multimedia messaging service), hentes meldingene uten brukers samtykke. Dette gjør systemet sårbart.

CVE-referanser:
CVE-2015-1538
CVE-2015-1539
CVE-2015-3824
CVE-2015-3826
CVE-2015-3828
CVE-2015-3829

Sårbarheten gjelder i versjon 2.2 (Froyo) til 5.1.1_r9 (Lollipop).

Oppdatering skal være tilgjengelig for Samsung, Google, Motorola, Sony og LG.

Tiltak

Om mulig bør brukere av Android systemer deaktivere automatisk nedhenting av MMS meldinger. Hvordan man kan gjøre dette i noen av de mest populære applikasjonene finnes blant annet på Avast! sin blogg. Selv om denne midlertidige løsningen gjør at automatisk utnyttelse av sårbarheten blir vanskeligere, vil enhetene fortsatt kunne utnyttes om bruker selv åpner den spesiallagede mediefilen.

Certifi-gate sårbarhet

Sårbarheten finnes i Remote Support Tools brukt av Android. Certifi-gate er et sett med sårbarheter i hvordan verifiseringsmetoden til "mobile Remote Support Tools (mRST)" validerer eksterne støtteapplikasjoner.

mRST skal gjøre det mulig for eksterne å gi teknisk støtte til enheter ved å gjenskape enhetens skjerm og simulere skjermtrykk på den eksterne enheten. Ved suksessfull utnyttelse gjennom at skadevare utgir seg for å være den legitime mRST, kan Certifi-gate gjøre det mulig for den å få ubregenset tilgang til en Android enhet, uten at brukeren vet om det.

Lar seg ikke oppdatere

Per nå ser det ut til at dette ikke lar seg oppdatere på 1-2-3 da Android ikke har noen måte å tilbakekalle sertifikater som gir privilegier på. Google mener dog at feilen ligger hos støtteapplikasjonene, ikke i Android seg selv.

NSM NorCERT anbefaler at Android systemer oppdateres til siste versjon etter hvert som oppdateringene publiseres for de berørte enhetene. Anbefalingen gjelder både oppdateringer av operativsystemet og oppdateringer av applikasjonene som benytter Stagefright rammeverket. Videre anbefaler vi så langt det er mulig at brukeren etterstreber å laste ned applikasjoner fra sikre kilder, som feks Google Play.