Российский ИБ-эксперт обнаружил уязвимость Stagefright одновременно с компанией Zimperium

image

Теги: уязвимость, вознаграждение, Android

Тот факт, что два разных исследователя одновременно обнаружили эту брешь, наводит на мысль о том, что она могла быть раскрыта хакерами еще раньше.  

Исследователь из компании Zimperium Джошуа Дрейк (Joshua Drake), обнаруживший критическую уязвимость в Android, печально известную Stagefright , мог бы стать очень богатым человеком. По данным Forbes, если бы Дрейк продал сведения о бреши спецслужбам или продавцам эксплоитов, он мог бы заработать как минимум $100 тыс.

К примеру, компания Zerodium заявила в Twitter о том, что за такие уязвимости, как Stagefright, она готова платить почти в сто раз больше, чем Google. «За брешь Stagefright в Android, позволяющую осуществить взлом с помощью MMS, Google заплатила $1337. За такие эксплоиты мы платим до $100 тыс.», - говорится в сообщении Zerodium.

Те не менее, Дрейк решил поступить более традиционным, благородным образом и сообщил о своей находке компании Google, которая выплатила ему за это весьма скудное вознаграждение в размере $1337. К сожалению, эксперт обнаружил уязвимость до того, как команда Android запустила официальную программу выплаты вознаграждений с максимальным размером награды в $38 тыс. В отличие от исследователей, хранящих свои эксплоиты в тайне, Дрейк поделился находкой с разработчиками, и теперь производители Android-устройств работают над тем, чтобы их клиенты получили исправления.

Примечательно, что Дрейк – первый, кто сообщил о бреши, но не единственный, кто ее обнаружил. По данным Forbes, 36-летний московский ИБ-эксперт Евгений Легеров также обнаружил две уязвимости нулевого дня в компоненте Stagefright. Исследователь подтвердил, что выпущенный Google патч исправляет открытые им бреши.

Как бы то ни было, но исправления пока что получили только Silent Circle Blackphone и устройства с прошивкой Cyanogen. Обнаруженные Легеровым уязвимости уже добавлены в набор эксплоитов VulnDisco, к которому есть доступ у правительственных и коммерческих организаций, использующих набор для тестирования на проникновение Canvas. Поскольку и Canvas, и VulnDisco созданы для внутреннего тестирования, а не для осуществления атак, Легеров уверен, что пользователям Android не о чем беспокоиться.

«С целью предотвращения использования нашими клиентами эксплоитов не по назначению мы не предоставляем им полнофункциональные эксплоиты. Наша цель – осведомленность об уязвимостях», - цитирует Легерова Forbes.

Тот факт, что два разных исследователя практически одновременно обнаружили одну и ту же брешь, наводит на мысль о том, что она могла быть раскрыта злоумышленниками еще раньше.  

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.