[Aktualizace: Opraveno] Aktivně využívaná zranitelnost zero-day nalezená v zařízeních Google Pixel, Huawei, Xiaomi, Samsung a dalších

Krátké Zprávy XdaNov 09, 2023

Výzkumníci z Project Zero našli aktivně využívanou bezpečnostní zranitelnost zero-day, která ohrožuje zařízení Google Pixel a další! Číst dál!

Aktualizace 10/10/19 ve 3:05 ET: Zranitelnost Androidu zero-day byla opravena pomocí bezpečnostní opravy ze 6. října 2019. Pro více informací přejděte dolů. Článek ve znění zveřejněném 6. října 2019 je zachován, jak je uvedeno níže.

Bezpečnost byla jednou z nejvyšší priority v posledních aktualizacích systému Android, přičemž mezi hlavní funkce patří vylepšení a změny šifrování, oprávnění a zacházení se soukromím. Další iniciativy jako např Project Mainline pro Android 10 cílem je urychlit aktualizace zabezpečení, aby byla zařízení Android bezpečnější. Google byl také pečlivý a přesný s bezpečnostními záplatamia přestože jsou tyto snahy samy o sobě chvályhodné, v OS, jako je Android, vždy zůstane prostor pro zneužití a zranitelnosti. Jak se ukázalo, útočníci byli údajně nalezeni aktivně zneužívající zero-day zranitelnost v Androidu což jim umožňuje převzít plnou kontrolu nad určitými telefony od společností Google, Huawei, Xiaomi, Samsung a dalších.

Google Projekt nula tým má odhalené informace o zero-day exploitu Androidu, jehož aktivní používání je připisováno skupina NSO, ačkoli zástupci NSO popřeli použití téhož na ArsTechnica. Tento exploit je eskalace práv jádra, která používá a použití-po-zdarma zranitelnost, umožňující útočníkovi plně kompromitovat zranitelné zařízení a rootovat ho. Vzhledem k tomu, že exploit je také přístupný z karantény Chrome, lze jej také doručit prostřednictvím webu, jakmile se objeví je spárován s exploitem, který se zaměřuje na zranitelnost v kódu v Chrome, který se používá k vykreslování obsah.

Jednodušeji řečeno, útočník může nainstalovat škodlivou aplikaci na postižená zařízení a získat root bez vědomí uživatele, a jak všichni víme, cesta se poté zcela otevře. A protože může být zřetězen s jiným exploitem v prohlížeči Chrome, může útočník také doručit škodlivé aplikace prostřednictvím webového prohlížeče, čímž odpadá nutnost fyzického přístupu k přístroj. Pokud vám to zní vážně, pak je to proto, že tomu tak rozhodně je – chyba zabezpečení byla na Androidu ohodnocena jako „Vysoce závažná“. A co je horší, tento exploit nevyžaduje žádné úpravy pro jednotlivá zařízení a výzkumníci z Project Zero mají také důkaz o využití ve volné přírodě.

Chyba zabezpečení byla zřejmě opravena v prosinci 2017 v Vydání Linux Kernel 4.14 LTS ale bez sledovacího CVE. Oprava byla poté začleněna do verzí 3.18, 4.4, a 4.9 jádra Androidu. Oprava se však nedostala do aktualizací zabezpečení systému Android, takže několik zařízení zranitelná vůči této chybě, která je nyní sledována jako CVE-2019-2215.

"Neúplný" seznam zařízení, která byla shledána ovlivněna, je následující:

  • Google Pixel
  • Google Pixel XL
  • Google Pixel 2
  • Google Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi Mi A1
  • Oppo A3
  • Moto Z3
  • telefony LG se systémem Android Oreo
  • Samsung Galaxy S7
  • Samsung Galaxy S8
  • Samsung Galaxy S9

Jak však již bylo zmíněno, nejedná se o vyčerpávající seznam, což znamená, že pravděpodobně také několik dalších zařízení byli touto chybou zabezpečení postiženi, přestože mají bezpečnostní aktualizace Androidu stejně nové jako ta ze září 2019. Google Pixel 3 a Pixel 3 XL a Google Pixel 3a a Pixel 3a XL jsou údajně před touto chybou zabezpečení v bezpečí. Dotčená zařízení Pixel budou mít chybu zabezpečení opravenou v nadcházející aktualizaci zabezpečení systému Android z října 2019, která by měla být spuštěna za den nebo dva. Partnerům Androidu byla zpřístupněna oprava, „aby bylo zajištěno, že ekosystém Android je chráněn proti problému“, ale Když vidíme, jak nedbalí a nonšalantní jsou někteří výrobci OEM ohledně aktualizací, nezadržovali bychom dech, kdybychom opravu obdrželi včas způsob.

Výzkumný tým Project Zero sdílel místní využití proof-of-concept, aby demonstroval, jak lze tuto chybu použít k získání libovolného čtení/zápisu jádra, když běží lokálně.

Výzkumný tým Project Zero slíbil, že v budoucím příspěvku na blogu poskytne podrobnější vysvětlení chyby a metodologie pro její identifikaci. ArsTechnica je toho názoru, že existuje velmi malá šance, že bude zneužit tak drahými a cílenými útoky, jako je tento; a že uživatelé by měli stále odkládat instalaci nepodstatných aplikací a používat jiný prohlížeč než Chrome, dokud nebude oprava nainstalována. Podle našeho názoru bychom dodali, že by bylo také rozumné pohlídat si bezpečnostní záplatu z října 2019 pro vaše zařízení a nainstalovat ji co nejdříve.

Zdroj: Projekt nula

Story Via: ArsTechnica

Aktualizace: Chyba zabezpečení Zero-day Android byla opravena aktualizací zabezpečení z října 2019

CVE-2019-2215, která se týká výše uvedené chyby zabezpečení eskalace oprávnění jádra byl opraven s Oprava zabezpečení z října 2019, konkrétně s úrovní bezpečnostní opravy 2019-10-06, jak bylo slíbeno. Pokud je pro vaše zařízení k dispozici aktualizace zabezpečení, důrazně doporučujeme nainstalovat ji co nejdříve.

Zdroj: Bulletin zabezpečení systému Android

Přes: Twitter: @maddiestone