Niedawno wykryta luka w systemie Androida oferuje szeroki wachlarz działań w celu przejęcia kontroli nad wybranym urządzeniem. A wszystko przy użyciu filmiku! Na szczęście jest już załatana, a Google nadało jej status krytyczny i oznaczyło jako CVE-2019-2107.

Luka pozwalała na atak typu RCE (remote code-execution, czyli zdalne wykonanie kodu) przy użyciu kodu zawartego w filmiku. Oczywiście tenże trzeba na urządzeniu uruchomić, ale jednak jest to bardziej nietypowy atak od najpopularniejszego typu – kodu w kodzie aplikacji.

Błąd w kodekach

Luka możliwa jest (a właściwie była, ale tylko na części modeli) ze względu na błąd w kodeku HEVC (H.265 oraz MPEG-H Part 2). Jej wykorzystanie jest możliwe, gdy użytkownik odtworzy nagranie z kodem zakodowane w tym kodeku korzystając z domyślnego odtwarzacza wideo. Wtedy do działania przystępuje funkcja wywołująca kodek (ihevcdparsepps) przez którą może dojść do przejęcia kontroli nad urządzeniem.

CVE-2019-2107

Oczywiście nie musimy obawiać się odtwarzania filmików dostępnych na platformach typu Facebook, Twitter, Instagram, czy WhatsApp. Nawet gdybyśmy dostali zainfekowane nagranie poprzez jedną z tych platform to nie ma szans na infekcję. Mimo, że do działania wykorzystują wbudowany w system odtwarzacz! Wszystko dzięki temu, że w ich przypadku dochodzi do ponownego kodowania materiału. W ten sposób „obchodzona” jest luka CVE-2019-2107. Proste, ale najwyraźniej skuteczne.

Aktualizacja = poprawki

Ta, jak wspomnieliśmy, poprawka łatająca lukę CVE-2019-2107 już wyszła. Z tym, że zawarta jest w poprawkach z minimum 1 lipca. A te jednak nie każdy telefon ma. I nie każdy dostanie. Lipcowe poprawki trafią jedynie na wspierane urządzenia z systemem Android w wersjach 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.

CVE-2019-2107

Nie jest to więc ogrom urządzeń, gdyż sporo starszych nawet nie ma aktualizacji do Nougata, a co dopiero Oreo lub Pie…

Z Xperii zabezpieczone na tę chwilę są jedynie (nie patrzymy na zaktualizowane regiony, ale ogólnie):

Użytkownicy pozostałych modeli są na razie „na lodzie”. Flagowce z 2017 roku nie dostały nawet poprawek lipcowych, acz wydaje się, że jeszcze spokojnie powinny być wspierane… Sierpniowe poprawki trafią jeszcze na pewno na zeszłoroczną półkę średnią (seria XA2) oraz tegoroczny i zeszłoroczny model L (L2 i L3). Użytkownicy pozostałych modeli Xperii moszą liczyć na wsparcie społeczności i nieoficjalne softy z nowszą wersją poprawek zabezpieczeń.

Warto wspomnieć, że nie tylko Android ma problem z atakami RCE przy użyciu kodu w pliku wideo. Podobną lukę znaleźć mogliśmy w… aplikacji VLC. Tej na każdy z systemów, ale to jednak aplikacja, a nie ogólnie system. Ale czy nie czyni to tej luki jeszcze bardziej niebezpieczną?

Źródło: Android Security Bulletin (July)

Jeżeli znalazłeś/aś literówkę w tekście, to daj nam o tym znać zaznaczając kursorem problematyczny wyraz, bądź zdanie i przyciśnij Shift + Enter lub kliknij Zgłoś pomyłkę.