Citer:Gaining remote code execution privileges merely by having access to the mobile number? Enter Stagefright.

The targets for this kind of attack can be anyone from Prime ministers, govt. officials, company executives, security officers to IT managers. Enterprise Mobile Security

Built on tens of gigabytes of source code from the Android Open Source Project (AOSP), the leading smartphone operating system carries a scary code in its heart. Named Stagefright, it is a media library that processes several popular media formats. Since media processing is often time-sensitive, the library is implemented in native code (C++) that is more prone to memory corruption than memory-safe languages like Java.

Zimperium zLabs VP of Platform Research and Exploitation, Joshua J. Drake (@jduck), dived into the deepest corners of Android code and discovered what we believe to be the worst Android vulnerabilities discovered to date. These issues in Stagefright code critically expose 95% of Android devices, an estimated 950 million devices. Drake’s research, to be presented at Black Hat USA on August 5 and DEF CON 23 on August 7 found multiple remote code execution vulnerabilities that can be exploited using various methods, the worst of which requires no user-interaction.

Attackers only need your mobile number, using which they can remotely execute code via a specially crafted media file delivered via MMS. A fully weaponized successful attack could even delete the message before you see it. You will only see the notification. These vulnerabilities are extremely dangerous because they do not require that the victim take any action to be exploited. Unlike spear-phishing, where the victim needs to open a PDF file or a link sent by the attacker, this vulnerability can be triggered while you sleep. Before you wake up, the attacker will remove any signs of the device being compromised and you will continue your day as usual – with a trojaned phone.

These screenshots were taken on a Nexus 5 (hammerhead) running the latest version, Android Lollipop 5.1.1.

Mobile Security

Android and derivative devices after and including version 2.2 are vulnerable. Devices running Android versions prior to Jelly Bean (roughly 11% of devices) are at the worst risk due to inadequate exploit mitigations. If ‘Heartbleed’ from the PC era sends chill down your spine, this is much worse.

The Stagefright vulnerability was assigned with the following CVEs:

CVE-2015-1538
CVE-2015-1539
CVE-2015-3824
CVE-2015-3826
CVE-2015-3827
CVE-2015-3828
CVE-2015-3829
In this unique scenario, Zimperium not only reported the vulnerability to the Google teams, but also submitted patches. Considering severity of the problem, Google acted promptly and applied the patches to internal code branches within 48 hours, but unfortunately that’s only the beginning of what will be a very lengthy process of update deployment.

http://blog.zimperium.com/experts-found-...f-android/

http://www.npr.org/sections/alltechconsi...ust-a-text

Det er altid fantastisk at få bekræftet, at denne type sårbarheder kan findes i open-source software.
Om det bruges til målrettede angreb eller automatiseres til indsamling af bots, så er der potentiale i disse sårbarheder.

Nu må vi jo bare vente på at de store drenge laver et weaponized exploit, eller alternativt, måske tjekke opdateringer på Androids Github fra de måneder han rapporterede fejlene, og så selv forsøge sig derfra. Der skulle være nok info til at få startet. Det kunne også tænkes at man kunne fuzze de sårbare biblioteker.
Det kunne måske laves til en 'Collective Challenge' for næste måned :p[/align]

Haha, er du gal en omgang bots man kunne samle :D
- Glæder mig til at se om der virkelig bliver et offentligt exploit ud af det her, så skal jeg ihvertfald igang med at høste ;)

Her er commits af sårbarhederne i Cyan:
https://github.com/CyanogenMod/android_f...thor=jduck

Og det omtalte bibliotek:
https://android.googlesource.com/platfor...tagefright

Hvis vi kigger på linie 2405 i 'MPEG4Extractor.cpp' ser vi følgende snippet:

Citer:status_t MPEG4Extractor::parse3GPPMetaData(off64_t offset, size_t size, int depth) {
if (size < 4) {
return ERROR_MALFORMED;
}

https://android.googlesource.com/platfor...ractor.cpp

Og hvis vi tager et kig på jducks commit af samme funktion:

Citer:status_t MPEG4Extractor::parse3GPPMetaData(off64_t offset, size_t size, int depth) {
if (size < 4 || size == SIZE_MAX) {
return ERROR_MALFORMED;
}

https://github.com/CyanogenMod/android_f...cacb6adbc7

Jeg ved ikke hvorfor sårbarheden ikke er patched i linket til googlesource.com, men ser ud til at være klassisk buffer-overflow.

Danm det er giftigt det der...

Nu har jeg ikke læst forfærdelig meget ind på selve fejlen, men skal det være via MMS at videoen skal sendes, eller kan du ikke bare inject den på hjemmesider og lave en silent-injection på den måde?

Ved FireFox er patched, da det benyttede samme bibliotek.
Tror dog hovedsageligt det er MMS der er ramt af skidtet, da de forskellige browsers nok selv står for parsing af filerne.

Siden jeg er på mobilen, er det begrænset hvad jeg selv lige kan undersøge i given stund.
Har ikke været i stand til at finde ud af hvor biblioteket bliver kaldt, så er lidt på bar bund.
Jeg prøvede også at bruge AtomicParsley til at tilføje metadata til en 3gp-fil. Valgte 'år' metadata-feltet, men bliver sgu nok nødt til at prøve samtlige felter.

Tror sku vi venter til næste uge.
Så må vi bare håbe på, at han afslører tilstrækkeligt med info til Black Hat og Defcon.

Repost af link fra Cons tråden:
https://blog.zimperium.com/stagefright-v...-released/

De planlægger at udgive dette exploit den 24.
Før hvis lignende bliver udviklet eller spotted in the wild. Så må vi bare håbe der er nogle der kan få det til at virke på 4.0+/ICS+. Eventuelt kan vi være heldige at der udgives et EoP til BH eller DC.

(06-08-2015, 18:19)MalcolmXI Skrev: Repost af link fra Cons tråden:
https://blog.zimperium.com/stagefright-v...-released/

De planlægger at udgive dette exploit den 24.
Før hvis lignende bliver udviklet eller spotted in the wild. Så må vi bare håbe der er nogle der kan få det til at virke på 4.0+/ICS+. Eventuelt kan vi være heldige at der udgives et EoP til BH eller DC.

Hvis jeg gør dette? Bliver jeg så en veteran?