Niedawno wykryta luka w systemie Androida oferuje szeroki wachlarz działań w celu przejęcia kontroli nad wybranym urządzeniem. A wszystko przy użyciu filmiku! Na szczęście jest już załatana, a Google nadało jej status krytyczny i oznaczyło jako CVE-2019-2107.

Luka pozwalała na atak typu RCE (remote code-execution, czyli zdalne wykonanie kodu) przy użyciu kodu zawartego w filmiku. Oczywiście tenże trzeba na urządzeniu uruchomić, ale jednak jest to bardziej nietypowy atak od najpopularniejszego typu – kodu w kodzie aplikacji.

Błąd w kodekach

Luka możliwa jest (a właściwie była, ale tylko na części modeli) ze względu na błąd w kodeku HEVC (H.265 oraz MPEG-H Part 2). Jej wykorzystanie jest możliwe, gdy użytkownik odtworzy nagranie z kodem zakodowane w tym kodeku korzystając z domyślnego odtwarzacza wideo. Wtedy do działania przystępuje funkcja wywołująca kodek (ihevcdparsepps) przez którą może dojść do przejęcia kontroli nad urządzeniem.

CVE20192107

Oczywiście nie musimy obawiać się odtwarzania filmików dostępnych na platformach typu Facebook, Twitter, Instagram, czy WhatsApp. Nawet gdybyśmy dostali zainfekowane nagranie poprzez jedną z tych platform to nie ma szans na infekcję. Mimo, że do działania wykorzystują wbudowany w system odtwarzacz! Wszystko dzięki temu, że w ich przypadku dochodzi do ponownego kodowania materiału. W ten sposób „obchodzona” jest luka CVE-2019-2107. Proste, ale najwyraźniej skuteczne.

Aktualizacja = poprawki

Ta, jak wspomnieliśmy, poprawka łatająca lukę CVE-2019-2107 już wyszła. Z tym, że zawarta jest w poprawkach z minimum 1 lipca. A te jednak nie każdy telefon ma. I nie każdy dostanie. Lipcowe poprawki trafią jedynie na wspierane urządzenia z systemem Android w wersjach 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.

CVE20192107-1

Nie jest to więc ogrom urządzeń, gdyż sporo starszych nawet nie ma aktualizacji do Nougata, a co dopiero Oreo lub Pie…

Z Xperii zabezpieczone na tę chwilę są jedynie (nie patrzymy na zaktualizowane regiony, ale ogólnie):

Użytkownicy pozostałych modeli są na razie „na lodzie”. Flagowce z 2017 roku nie dostały nawet poprawek lipcowych, acz wydaje się, że jeszcze spokojnie powinny być wspierane… Sierpniowe poprawki trafią jeszcze na pewno na zeszłoroczną półkę średnią (seria XA2) oraz tegoroczny i zeszłoroczny model L (L2 i L3). Użytkownicy pozostałych modeli Xperii moszą liczyć na wsparcie społeczności i nieoficjalne softy z nowszą wersją poprawek zabezpieczeń.

Warto wspomnieć, że nie tylko Android ma problem z atakami RCE przy użyciu kodu w pliku wideo. Podobną lukę znaleźć mogliśmy w… aplikacji VLC. Tej na każdy z systemów, ale to jednak aplikacja, a nie ogólnie system. Ale czy nie czyni to tej luki jeszcze bardziej niebezpieczną?

Źródło: Android Security Bulletin (July)

Jeżeli znalazłeś/aś literówkę w tekście, to daj nam o tym znać zaznaczając kursorem problematyczny wyraz, bądź zdanie i przyciśnij Shift + Enter lub kliknij Zgłoś pomyłkę.