Analitycy z firmy NorthBit zajmującej się cyberbezpieczeństwem, odkryli nowy sposób wykorzystania luki Stagefright w urządzeniach z systemem Android. Luka odkryta w sierpniu ubiegłego roku dotyczyła ponad 95% urządzeń z Androidem. Pozwalała atakującemu na przejęcie kontroli nad urządzeniem i kradzież danych na nim zapisanych. Specjaliści wykazali, że nowy typ exploita, nazwany Metaphor, potrafi w nowy sposób wykorzystać tę lukę, omijając napotkane systemy zabezpieczeń. Szczególnie narażeni na wykorzystanie tej luki są użytkownicy urządzeń HTC One, LG G3 i Samsung S5.

Luka Stagefright została już co prawda załatana w najnowszych wersjach systemu Android. Nadal jednak zagraża tym użytkownikom, którzy posiadają starsze wersje systemu. Analitycy NorthBit, badając Stagefright, odnaleźli nowy sposób jego wykorzystania. Specjalny exploit, czyli program wykorzystujący luki w aplikacjach m.in. do realizowania ataków lub infekcji, umożliwia przejęcie kontroli nad podatnym na Stagefright urządzeniem.

Do tej pory przejęcie kontroli następowało na dwa sposoby: za pomocą wiadomości MMS – bez konieczności interakcji ze strony użytkownika lub za pośrednictwem spreparowanego linku, dołączanego do wiadomości email lub SMS – wtedy użytkownik musiał kliknąć w otrzymany odnośnik. Jak wygląda proces wykorzystania luki przez Metaphor? Wystarczy, że użytkownik wejdzie na stronę z zainfekowanym plikiem wideo. W efekcie w urządzeniu zawieszona zostaje usługa media server (odpowiedzialna za odtwarzanie multimediów). Równolegle na to samo urządzenie wysyłany jest plik, który zbiera dane o smartfonie czy tablecie i przesyła je do serwera atakującego. Serwer ten następnie wysyła spreparowany plik wideo, który doprowadza do infekcji. Cała operacja może wydawać się skomplikowana, ale w rzeczywistości trwa zaledwie 20 sekund. W tym czasie użytkownik nie wie, że jego urządzenie jest atakowane. Gdy akcja się powiedzie, atakujący uzyskuje dostęp do wszystkich danych znajdujących się na urządzeniu, a dodatkowo może podsłuchiwać i podglądać ofiarę.

Exploit Metaphor unika wykrycia przez mechanizmy zabezpieczające urządzenie. W najnowszych wersjach systemu Metaphor może ominąć ASLR, czyli wewnętrzne zabezpieczenie systemu przed działaniem exploitów. Metaphor działa na wersjach systemu Android od 2.2 do 4.0 oraz od 5.0 do 5.1.

Jak sprawdzić czy Twoje urządzenie jest podatne na lukę Stagefright? Użytkownik może to zweryfikować za pomocą bezpłatnej aplikacji ESET Stagefright Detector dostępnej w Google Play. Jeśli urządzenie okaże się podatne na atak, Kamil Sadkowski, analityk z firmy ESET, radzi zaktualizować system do najnowszej wersji. Jeśli producent urządzenia nie udostępnił najnowszej wersji systemu Android, ekspert radzi zastosować jedno z dostępnych na rynku rozwiązań antywirusowych dla urządzeń mobilnych.