Het Israëlische securitybedrijf NorthBit heeft de broncode van zijn Stagefright Metaphor-exploit vrijgegeven. Deze is standaard alleen van toepassing op de Google Nexus 5 maar kan ook aangepast worden om zich ook op andere toestellen te richten.
NorthBit-ceo Gil Dabah maakt de publicatie bekend via Twitter. Het bedrijf heeft de bestanden gehost op GitHub. Hoewel de exploit dus direct ingezet kan worden tegen Nexus 5-toestellen die bijvoorbeeld Android 5.1 draaien, stelt NorthBit in zijn paper dat het aanpassen van de exploit om andere toestellen te treffen slechts een kwestie is van lookup tables opstellen per Android-rom. "Het aanpassen van de exploit is een 'oefening voor de lezer'. Ik heb er zelf nog niet mee gespeeld, maar het porten ziet er simpel uit," steltNorthBit-cto Zuk Avraham. In het onderzoeksrapport over Metaphor bestempelde het bedrijf de exploit al als "praktisch en uitvoerbaar". Het is dus nu mogelijk dat een kwaadwillende een website opzet die Metaphor gebruikt en toepasbaar is op een groot aantal verschillende toestellen.
Android-versies 2.2 tot en met 4.0 en 5.0 & 5.1 zijn kwetsbaar voor de Stagefright Metaphor-exploit. Wereldwijd zou dat neerkomen op 275 miljoen Android-toestellen. Volgens cijfers van cyberbeveiligingsbedrijf Zimperium zou meer dan de helft van de Android-toestellen in Nederland nog kwetsbaar zijn voor de exploit, die de bestempeling CVE-2015-3864 krijgt van Google. Opvallend is dat Metaphor zelfs de address space layout randomzation, of aslr, op Android 5.0 & 5.1 weet te verslaan. Die is er juist voor bedoeld om een dergelijke buffer overflow te voorkomen. Toestellen met een security patch level van 1 oktober 2015 of later vallen buiten schot, aldus Google in een reactie tegenover Ars Technica.
Gebruikers moeten bij Metaphor overtuigd worden om een website te bezoeken die met geïnfecteerde mp4-bestanden gewapend is. Deze bestanden hoeven niet eens door de gebruiker geopend te worden; parsing door de browser is genoeg. Als de gebruiker lang genoeg op de website blijft, kan de aanvaller via remote code execution en privilege escalation volledige controle over het toestel krijgen.
De Stagefright-kwetsbaarheid in Android werd in juli 2015 wereldkundig gemaakt door Zimperium. Hoewel deze kwetsbaarheid op verschillende manieren uitgebuit kan worden door een hacker, waren deze manieren veelal moeilijk, onpraktisch en dus onbetrouwbaar. NorthBit claimt met Metaphor een betrouwbare nieuwe manier te hebben ontwikkeld om Stagefright uit te buiten.
Het dichten van dergelijke beveiligingsgaten heeft veel voeten in de aarde. Hoewel Google de nodige fixeskan ontwikkelen voor lekken als deze, is het uiteindelijk aan de fabrikanten van de talloze verschillende Android-smartphones zelf om deze te integreren in en distribueren voor hun eigen toestellen. In veel gevallen duurt het lang voordat de updates uiteindelijk toestellen bereiken, of krijgen de toestellen de updates helemaal niet omdat het niet rendabel genoeg is om oudere toestellen te blijven updaten.
Bron: Tweakers.net