ZHA: aceleración de la implementación de parches de seguridad

Por:zuk avraham
joshua drake
Yaniv Karta

Reflexionando sobre nuestras experiencias colectivas en el ecosistema de Android, especialmente los eventos recientes en torno a Miedo escénico, recordamos varias deficiencias en la forma en que funciona el ecosistema de actualizaciones de seguridad de Android. Para ayudar a abordar estos problemas, nos complace anunciar Alianza de teléfonos de Zimperium. La creación de esta coalición servirá para respaldar nuestro objetivo de mejorar la seguridad entre todas las partes involucradas con Android.

¿Por qué ZHA?

Nuestro objetivo al crear esta coalición es abordar las siguientes inquietudes clave, que serán muy familiares para las personas que trabajan día a día en el ecosistema de seguridad de los teléfonos inteligentes.

Hemos aprendido de varios proveedores de dispositivos y proveedores de telecomunicaciones que prefieren recibir notificaciones relevantes de seguridad de Android al mismo tiempo que Google. A estas alturas, casi todo el mundo es consciente de la larga cola asociada con las actualizaciones de Android. Cuando el equipo de seguridad de Android proporciona parches a sus socios, es solo el comienzo de un largo proceso. Muchos proveedores recibieron los parches que enviamos en abril, solo en junio. Algunos proveedores dijeron que no recibieron los parches en absoluto. Creemos que notificar a todo el personal relevante en el ecosistema en paralelo ayudará a reducir la cantidad de tiempo que tardan los usuarios finales en recibir una actualización de seguridad.

Según nuestra comprensión del ecosistema de Android, los problemas de seguridad informados a Google solo se comparten con socios activos. Si bien no tenemos acceso a los detalles, entendemos que los avisos y las actualizaciones producidos por Google no se brindan a quienes no son socios, como los creadores de Firephone y Blackphone. Esto les da a dichos proveedores visibilidad cero de tales amenazas potenciales hasta que los problemas informados se hagan públicos. Para entonces podría ser demasiado tarde. Invitamos a dichos proveedores a participar, ya que creemos que merecen ser notificados al mismo tiempo que otras organizaciones directamente afectadas.

Finalmente, ponerse en contacto con el punto de contacto correcto en varias empresas dentro del ecosistema de Android puede ser difícil. La creación de ZHA proporciona un canal de comunicación con las personas adecuadas para cada problema de seguridad específico, desde los operadores de redes móviles hasta el mismo Google. Alentamos a los investigadores a que se comuniquen con nosotros si tienen problemas para encontrar el contacto adecuado.

¿Quién es elegible?

Tenemos toda la intención de que ZHA sea más abierta que Open Handset Alliance (OHA). Como tal, agradecemos la participación de los miembros de los equipos de seguridad directamente afectados por los problemas de seguridad de Android. Los ejemplos incluyen organizaciones que tienen la responsabilidad de proteger los dispositivos que ejecutan Android o derivados de AOSP, operadores de redes móviles que alojan dispositivos Android, etc.

Para dar inicio a esta iniciativa, compartimos el conjunto completo de parches y el código de prueba de concepto con este grupo antes de nuestras próximas apariciones en Black Hat y DEFCON.

Más que dieciséis de los mayores proveedores y transportistas ya se han unido a ZHA. Si está interesado en unirse a ZHA, aplicar aquí. Sin embargo, tenga en cuenta que estamos investigando a los solicitantes en un esfuerzo por garantizar que la información confidencial que se difunda a través de esta alianza permanezca dentro de las organizaciones encargadas de responder a los problemas de seguridad de Android.

¿Qué pasa con todos los demás?

Zimperium reconoce que mejorar la seguridad de Android requiere algo más que mejorar las comunicaciones entre proveedores. Además de actualizaciones periódicas y rápidas, la investigación proactiva es la mejor manera de adelantarse a las amenazas emergentes. Al encontrar y corregir las últimas vulnerabilidades, los atacantes se quedan con un arsenal cada vez más reducido. Desde auditorías de código fuente y binario hasta revisión de diseño, más ojos significan más mejoras. Para facilitar ese objetivo, también estamos lanzando una nueva lista de correo de seguridad pública enfocada en dispositivos móviles.

Los investigadores de seguridad móvil, los proveedores de seguridad y los equipos de IR e IH son bienvenidos a unirse a nuestro Foro abierto de seguridad móvil aquí: aplicar aquí.

Con estas dos nuevas iniciativas en marcha, esperamos conectar las dos comunidades para que podamos llevar la seguridad del ecosistema al siguiente nivel. Alentamos a los investigadores que tengan inquietudes específicas sobre la seguridad dentro del ecosistema de Android a participar en la alianza cuando lo consideren oportuno. Haremos todo lo posible para conectar a las personas correctas.

¿Qué pasa con el miedo escénico?

Estamos trabajando para lanzar una aplicación independiente para probar la presencia de vulnerabilidades conocidas de Stagefright y un video que demuestre un ataque exitoso. Varias organizaciones solicitaron que retrasáramos el lanzamiento de nuestro exploit funcional. Estuvimos de acuerdo, dada la gravedad de la situación. Desafortunadamente, debido a que los parches son de código abierto [1, 2], muchos investigadores ya están trabajando en la creación de un exploit. Creemos que es solo cuestión de tiempo antes de que veamos ataques en la naturaleza (suponiendo que aún no estén ocurriendo).

Las vulnerabilidades como las descubiertas en Stagefright pueden utilizarse potencialmente en la creación de un gusano de red. Esto es especialmente cierto para los sesenta millones de dispositivos sin asignación aleatoria del diseño del espacio de direcciones (ASLR). Suponiendo que cada uno de estos dispositivos envíe alrededor de 100 mensajes MMS por día, estamos hablando de unos seis mil millones de mensajes MMS por día. Tal evento podría causar estragos en la infraestructura de la red móvil y enviar spam a muchos usuarios con mensajes MMS no deseados.


Consejos para el transportista

En el desafortunado caso de que alguien desarrolle y libere un gusano para estas vulnerabilidades, nos gustaría ofrecer la siguiente guía a los operadores de redes móviles. El empleo de estas medidas de protección podría marcar la diferencia.

  1. Tasa de limitar la cantidad de mensajes MMS consecutivos de un solo remitente.
  2. Identifique las características de ‘spamming’ de los remitentes de MMS para rastrear los mensajes enviados involuntariamente (por ejemplo, mensajes duplicados de un remitente a varios destinatarios que contienen los mismos medios)
  3. Limite el tamaño de los medios dentro de los mensajes MMS, ya que los archivos más grandes pueden mejorar las posibilidades de una explotación exitosa.
  4. Inspeccione y bloquee archivos multimedia maliciosos durante la transcodificación.

ACTUALIZAR:

  1. Los clientes de Mobile Threat Protection de Zimperium están a salvo de esta amenaza, incluso sin actualizar el dispositivo a la última versión de Android. Las empresas que tienen razones para creer que están bajo activo Miedo escénico ataques, debe comunicarse con nosotros lo antes posible en [email protected]
  2. Laboratorios de investigación de Zimperium (zLABS) lanzará un video a finales de esta semana con una demostración de Stagefright RCE. Varios grandes operadores solicitaron que retrasáramos el lanzamiento de nuestro exploit funcional. Estuvimos de acuerdo, dada la gravedad de la situación. Desafortunadamente, debido a que los parches son de código abierto [1, 2], muchos investigadores ya están trabajando en la creación de un exploit. Estamos planeando lanzar nuestro exploit en 24 de agosto de 2015. Sin embargo, si se publica un exploit o se detectan ataques antes de esa fecha, publicaremos el nuestro con fines de prueba en ese momento.
  3. Los proveedores de dispositivos reciben los parches meses después de su lanzamiento. Para resolver este problema, ZIMPERIUM proporciona una plataforma global para ayudar a los proveedores de teléfonos inteligentes y a los operadores que deseen recibir parches del sistema operativo móvil de Zimperium directamente. Disfruta el Alianza de teléfonos Zimperium mediantehttps://groups.google.com/d/forum/zimperium-handset-alliances (utilice el correo electrónico de su proveedor/telco para ser aceptado en ZHA. Otras solicitudes se rechazarán automáticamente). Más que 17 de los mayores proveedores y transportistas ya se han unido a ZHA.
  4. Puede leer cómo deshabilitar la obtención automática de MMS en dispositivos Nexus aquí
  5. Los socios de ZHA ya recibieron el código de prueba de concepto que desencadena los problemas y el conjunto completo de parches Stagefright. Para obtener consejos específicos del operador, marque esto correo
  6. Josh presentará los detalles completos de su investigación en Black Hat el 5 de agosto o en DEFCON el 7 de agosto. ¡Te invitamos a unirte a nosotros!

Deja un comentario