Изследователи от Project Zero са открили активно използвана уязвимост на сигурността от нулевия ден, която компрометира устройства Google Pixel и други! Прочетете!
Актуализация на 10/10/19 @ 3:05 сутринта ET: Уязвимостта на Android от нулевия ден е коригирана с корекцията за сигурност от 6 октомври 2019 г. Превъртете до дъното за повече информация. Статията, публикувана на 6 октомври 2019 г., е запазена по-долу.
Сигурността е една от основни приоритети в последните актуализации на Android, като подобренията и промените в криптирането, разрешенията и обработката, свързана с поверителността, са някои от водещите функции. Други инициативи като напр Project Mainline за Android 10 имат за цел да ускорят актуализациите на защитата, за да направят устройствата с Android по-безопасни. Google също беше усърден и точен с корекциите за сигурности въпреки че тези усилия са похвални сами по себе си, винаги ще има място за експлойти и уязвимости в операционна система като Android. Както се оказва, се твърди, че нападателите активно използват уязвимост от нулев ден в Android което им позволява да поемат пълен контрол върху определени телефони от Google, Huawei, Xiaomi, Samsung и други.
на Google Проект Нула екипът има разкрита информация за експлойт на Android от нулевия ден, чието активно използване се приписва на група на НСО, въпреки че представители на НСО отрекоха използването на същия да се ArsTechnica. Този експлойт е ескалация на привилегии на ядрото, която използва a използване след безплатно уязвимост, което позволява на атакуващия да компрометира напълно уязвимо устройство и да го руутне. Тъй като експлойтът е достъпен и от пясъчната среда на Chrome, той може да бъде доставен и чрез мрежата, след като го направи е съчетан с експлойт, който е насочен към уязвимост в кода в Chrome, който се използва за изобразяване съдържание.
На по-прост език, атакуващият може да инсталира злонамерено приложение на засегнатите устройства и да получи root без знанието на потребителя, и както всички знаем, пътят се отваря напълно след това. И тъй като може да бъде свързан с друг експлойт в браузъра Chrome, нападателят също може да извърши злонамереното приложение през уеб браузъра, премахвайки необходимостта от физически достъп до устройство. Ако това ви звучи сериозно, то това е така, защото със сигурност е така – уязвимостта е оценена като „висока сериозност“ на Android. Което е по-лошо, този експлойт изисква малко или никакво персонализиране за всяко устройство, а изследователите от Project Zero също имат доказателство, че експлойтът се използва в дивата природа.
Уязвимостта очевидно е била коригирана през декември 2017 г. в Версия на ядрото на Linux 4.14 LTS но без проследяващ CVE. След това корекцията беше включена във версии 3.18, 4.4, и 4.9 на ядрото на Android. Корекцията обаче не си проправи път в актуализациите за сигурност на Android, оставяйки няколко устройства уязвими към този недостатък, който сега се проследява като CVE-2019-2215.
„Неизчерпателният“ списък на устройствата, за които е установено, че са засегнати, е както следва:
- Google Pixel
- Google Pixel XL
- Google Pixel 2
- Google Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi Mi A1
- Oppo A3
- Мото Z3
- Телефони LG с Android Oreo
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Въпреки това, както споменахме, това не е изчерпателен списък, което означава, че има вероятност да го направят и няколко други устройства са били засегнати от тази уязвимост, въпреки че имат актуализации за сигурност на Android като нови като тази от септември 2019. Твърди се, че Google Pixel 3 и Pixel 3 XL и Google Pixel 3a и Pixel 3a XL са защитени от тази уязвимост. Уязвимостта на засегнатите устройства Pixel ще бъде коригирана в предстоящата през октомври 2019 г. актуализация на сигурността на Android, която трябва да стане активна след ден или два. На партньорите на Android е предоставена корекция, „за да се гарантира, че екосистемата на Android е защитена срещу проблема“, но виждайки колко небрежни и безгрижни са някои OEM производители по отношение на актуализациите, ние не бихме затаили дъх при получаването на корекцията навреме начин.
Изследователският екип на Project Zero сподели експлойт за локално доказателство за концепцията, за да демонстрира как този бъг може да се използва за получаване на произволно четене/запис на ядрото, когато се изпълнява локално.
Изследователският екип на Project Zero обеща да предостави по-подробно обяснение на грешката и методологията за идентифицирането й в бъдеща публикация в блога. ArsTechnica счита, че има изключително малки шансове да бъдете експлоатирани от толкова скъпи и целенасочени атаки като тази; и че потребителите все пак трябва да въздържат инсталирането на несъществени приложения и да използват браузър, различен от Chrome, докато корекцията не бъде инсталирана. По наше мнение бихме добавили, че също така би било разумно да потърсите корекцията за сигурност от октомври 2019 г. за вашето устройство и да я инсталирате възможно най-скоро.
източник: Проект Нула
История чрез: ArsTechnica
Актуализация: Уязвимостта на Zero-day Android е коригирана с актуализацията за сигурност от октомври 2019 г
CVE-2019-2215, който се отнася до гореспоменатата уязвимост при ескалация на привилегии на ядрото е закърпен с Корекция за сигурност от октомври 2019 г, по-специално с ниво на корекция за сигурност 2019-10-06, както беше обещано. Ако има налична актуализация на защитата за вашето устройство, силно препоръчваме да я инсталирате възможно най-рано.
източник: Бюлетин за сигурността на Android
Чрез: Twitter: @maddieston