Google перестроил ядро Android, чтобы защитить его от атак

Летом прошлого года исследователи обнаружили серьезную проблему в ядре Android. Выяснилось, что уязвимость заключалась в процессе обработки мультимедиа, который потенциально позволяет удаленное выполнение кода до того, как вредоносный файл даже открывается пользователем.

Команда безопасности Android залатала первоначальную ошибку в течение нескольких недель, но она вызвала волну новых атак, связанных с обработкой Android аудио и видео файлов. Первые ошибки были выявлены через несколько дней после первого патча с более серьезными эксплоитами, возникшими несколько месяцев спустя. Последний доклад по Android-патчу, выпущенный сегодня, сообщает, что он исправляет три отдельные уязвимости в функции обработки мультимедиа, в том числе одну критическую ошибку, которая могла быть использована для удаленного выполнения кода.

Теперь, Android восстанавливает эту систему с нуля. Когда Android 7.0 Nougat начал загружаться на смартфоны в прошлом месяце, он вышел с перестроенной системой воспроизведения медиафайлов, специально предназначенной для защиты от атак Stagefright. В своем сообщении команда безопасности Android раскрыла новые подробности, как именно изменилась система безопасности Nougat и что команда узнала о прошлогодней ошибке.

Атаки Stagefright имели своей целью систему "Mediaserver" в Android - функцию ядра, к которой приложения обращаются каждый раз, когда им нужно воспроизвести аудио или видео. Если медиафайл передается через MMS или Hangouts, процесс мог запуститься, прежде чем вы бы увидели уведомление, так как приложение брало данные для генерации предварительного просмотра или предварительной загрузки частей файла.

Уязвимость возникала тогда, когда старый MediaServer предварительно загружал эти данные. Когда некоторые целые переменные были слишком большими, они перезаписывали данные в других частях памяти смартфона, давая атакующим решающую точку опоры для выхода из MediaServer на остальные части смартфона. Используя такое переполнение, злоумышленники могли выполнить код на Android-смартфоне без видимых внешних признаков. Команда Android внесла ряд изменений, ограничивающие обстоятельства, при которых Hangouts и другие MMS-приложения могут предварительно загружать данные.

Обновление Nougat дало команде Google шанс восстановить систему с нуля, убирая выявленные уязвимости, используемые Stagefright. В новой версии Android процессы воспроизведения и уведомления о принятых медиафайлах были полностью переработаны. Но, из заявлений специалистов Google становится понятно, что проблема полностью не устранена, а последние усилия привели лишь к уменьшению риска. Также пока неясно, как и в какие сроки будет решена проблема подобных уязвимостей в старых версиях Android.