Het is weer die tijd van de maand om Android te patchen - als je een leverancier bent. Als gebruiker kun je voorlopig, tenzij je een Nexus-gebruiker bent of een verse ROM kunt toepassen, alleen maar lijdzaam toezien en hopen dat fabrikanten spoedig een OTA-update pushen.

Sommige partners brengen vrijwel direct een beveiligingsupdate uit samen met Google, zij krijgen de patches een maand eerder van Google - in dit geval zijn ze op 2 mei verstuurd naar OEM's. Maar de meeste toestellen - inclusief de meestgebruikte apparaten (wat low-end en midrange-smartphones zijn, niet de vlaggenschepen) - moeten het waarschijnlijk voorlopig zonder stellen.

Multimediabugs blijven etteren

Het multimediacomponent staat vrijwel maandelijks aan de top van de lijst met kritieke kwetsbaarheden en daarom pakt Google vanaf Android N dit subsysteem op een andere manier aan. In de oude opzet was dit één pakket met brede toegang tot het besturingssysteem.

Dat zorgt ervoor dat mediahardware, waaronder GPU en andere SoC-componenten, door een breed scala aan apps kan worden aangesproken. Dat is handig voor ontwikkelaars, maar het betekent ook dat een kwetsbaarheid in het systeem een enorme impact heeft op Android. Dat zagen we bijvoorbeeld gedemonstreerd in de praktijk met de Stagefright-bug.

Nieuwe security-aanpak

De oplossing is het opdelen van het brede component en deze subsystemen verschillende machtigingen/rechten te geven. In de nieuwe opzet hebben bijvoorbeeld de MediaPlayerService en de MediaCodecServer toegang tot de GPU, maar de AudioServer niet. Verder hadden in de oude opzet audio-, camera- en mediacomponenten allemaal dezelfde rechten, bijvoorbeeld lezen- en schrijven in opslag, maar nu gelden dezelfde rechten voor individuele processen, niet voor alle onderdelen.

Hierna: Acht kritieke gaten, waarvan er twee met dit multimedia-issue te maken hebben.

Dit is grotendeels werk in uitvoering en op het moment is een issue in Mediaserver te misbruiken in een groot deel van Android-onderdelen. CVE-2016-2463 is volgens de ontwikkelaars een kwetsbaarheid om de Mediaserver malafide code te laten uitvoeren, bijvoorbeeld via een MMS'je of met een video in de browser. Via audio- en videostreams kunnen aanvallers de machtigingen van die processen verkrijgen en zo bijvoorbeeld toegang krijgen tot beveiligde opslag, sensoren en hardware-onderdelen.

Meer multimediaproblemen

Naast dit kritieke gat, zijn er nog eens twaalf kwetsbaarheden in Mediaserver die het waarschuwingsetiket 'high' meekrijgen. Via deze issues kunnen aanvallers lokaal hun rechten escaleren en bredere toegang krijgen tot processen die normaal gesproken niet toegankelijk zijn voor onderdelen die geen kerncomponent vormen. In tegenstelling tot de kritieke CVE-2016-2463 kunnen aanvallers deze gaten niet op afstand misbruiken.

Een rakelings bij hetzelfde multimediaprobleem betrokken kwetsbaarheid is CVE-2016-2464. Dit is een gat in de library voor open videoformaat WebM, dat in het leven is geroepen als vrij alternatief voor de veelgebruikte H.264. Ook libwebm zorgt voor een aanvalsvector via de Merdiaserver, waardoor boosdoeners toestellen kunnen benaderen via een app die mediacontent afspeelt, bijvoorbeeld via de browser in combinatie met een malafide pagina.

Chipset-drivers

De overige zes kritieke gaten hebben allemaal betrekking tot drivers van Qualcomm-chipsets. CVE-2016-2465 gaat om een gat in een videodriver, CVE-2016-2466 en -2467 om kwetsbaarheden in een Qualcomm-geluidsdriver, en ten slotte gaan CVE-2016-2468 en CVE-2016-2062 om een GPU-driver.

Deze gaten zijn kritiek omdat misbruik ervan ervoor zorgt dat eventuele malware zich diep nestelt in kernsystemen van het toestel en niet meer is te verwijderen door de gebruiker. De enige manier om een op deze manier geïnfecteerd apparaat te redden is door het toestel te flashen, iets wat de gemiddelde gebruiker - of iemand zonder ontgrendeld toestel - niet kan doen.

Op de laatste pagina: Nog meer driverissues (vijftien stuks) van diverse fabrikanten.

Driverissues bij chips die gebruikt worden door Android-fabrikanten zijn bepaald niet uniek voor Qualcomm. Hier volgen nog vijftien kwetsbaarheden in stuurprogramma's voor chipsets van verschillende fabrikanten, waarvan er tien voor rekening zijn van de populairste toeleverancier. De issues waarmee kerneltoegang wordt verkregen, maar niet direct zijn uit te voeren, krijgen de categorie 'High' toegewezen.

  • Broadcom: CVE-2016-2493 is een WiFi-gat waarmee lokaal kerneltoegang kan worden bemachtigd. Ook CVE-2016-2475 is een kwetsbaarheid in een WiFi-component van Broadcom, waarmee aanvallers instellingen kunnen aanroepen en wijzigen zonder daarvoor gemachtigd te zijn.
  • MediaTek: CVE-2016-2492 is een kwetsbaarheid in een driver die de stroombesparende features van de MediaTek-SoC-onderdelen aanstuurt.
  • Qualcomm: Gaten in het stuurprogramma van het geluidscomponent, CVE-2016-2066 en CVE-2016-2469, zijn 'High' omdat aanvallers er kerneltoegang mee krijgen, maar eerst een andere service moeten misbruiken om dit gat te kunnen benutten. Hetzelfde geldt voor CVE-2016-2061 en CVE-2016-2488, die een videodriver kwetsbaar maken, CVE-2016-2489 doet dit voor een cameradriver, en CVE-2016-2470, -2471, -2472 en -2473 voor een WiFi-driver. CVE-2016-2498 krijgt 'Moderate' omdat er geen kerneltoegang wordt verkregen én een aanvaller eerst via een ander gat toegang moet krijgen tot een service om data zonder de juiste machtigingen te benaderen.
  • Nvidia: CVE-2016-2490 en -2491 zijn kwetsbaarheden in een cameradriver waarmee aanvallers kerneltoegang kunnen krijgen. Ze kunnen niet direct benaderd kunnen worden en omdat er een secundaire exploitoptie aan te pas moet komen krijgen deze gaten ook 'High' mee en niet 'Critical'.