[Opdatering: Rettet] Aktivt udnyttet nul-dages sårbarhed fundet i Google Pixel, Huawei, Xiaomi, Samsung og andre enheder

Xda Nyheder KortNov 09, 2023
click fraud protection

Forskere ved Project Zero har fundet en aktivt udnyttet zero-day sikkerhedssårbarhed, der kompromitterer Google Pixel-enheder og andre! Læs videre!

Opdatering 10/10/19 @ 3:05 AM ET: Zero-day Android-sårbarheden er blevet rettet med sikkerhedsrettelsen den 6. oktober 2019. Rul til bunden for mere information. Artiklen som offentliggjort den 6. oktober 2019 er bevaret som nedenfor.

Sikkerhed har været en af ​​de topprioriteter i de seneste Android-opdateringer, hvor forbedringer og ændringer af kryptering, tilladelser og privatlivsrelateret håndtering er nogle af hovedfunktionerne. Andre tiltag som f.eks Project Mainline til Android 10 sigte på at fremskynde sikkerhedsopdateringer for at gøre Android-enheder sikrere. Google har også været flittig og punktlig med sikkerhedsrettelser, og selvom disse bestræbelser er prisværdige i sig selv, vil der altid være mulighed for udnyttelse og sårbarheder i et OS som Android. Som det viser sig, er angribere angiveligt blevet fundet aktivt at udnytte en nul-dages sårbarhed i Android der giver dem mulighed for at overtage fuld kontrol over visse telefoner fra Google, Huawei, Xiaomi, Samsung og andre.

Googles Projekt Zero hold har afsløret information om en nul-dages Android-udnyttelse, hvis aktive brug tilskrives NSO gruppe, selvom repræsentanter fra NSO har afvist brugen af ​​samme til ArsTechnica. Denne udnyttelse er en eskalering af kerneprivilegier, der bruger en brug-efter-fri sårbarhed, hvilket giver hackeren mulighed for fuldt ud at kompromittere en sårbar enhed og roote den. Da udnyttelsen også er tilgængelig fra Chrome-sandkassen, kan den også leveres via nettet, når den først er den er parret med en udnyttelse, der retter sig mod en sårbarhed i koden i Chrome, der bruges til at gengive indhold.

På et mere simpelt sprog kan en angriber installere en ondsindet applikation på berørte enheder og opnå root uden brugerens viden, og som vi alle ved, åbner vejen sig helt op efter det. Og da det kan kædes sammen med en anden udnyttelse i Chrome-browseren, kan angriberen også levere den ondsindede applikation gennem webbrowseren, hvilket fjerner behovet for fysisk adgang til enhed. Hvis dette lyder alvorligt for dig, så er det, fordi det bestemt er det - sårbarheden er blevet vurderet som "Høj alvorlighed" på Android. Hvad værre er, denne udnyttelse kræver kun lidt eller ingen tilpasning pr. enhed, og forskerne ved Project Zero har også bevis for, at udnyttelsen bliver brugt i naturen.

Sårbarheden blev tilsyneladende rettet i december 2017 i Linux Kernel 4.14 LTS-udgivelse men uden en tracking CVE. Rettelsen blev derefter indarbejdet i versioner 3.18, 4.4, og 4.9 af Android-kernen. Rettelsen kom dog ikke ind i Android-sikkerhedsopdateringer, hvilket efterlod flere enheder sårbare over for denne fejl, der nu spores som CVE-2019-2215.

Den "ikke-udtømmende" liste over enheder, der har vist sig at være påvirket, er som følger:

  • Google Pixel
  • Google Pixel XL
  • Google Pixel 2
  • Google Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi Mi A1
  • Oppo A3
  • Moto Z3
  • LG-telefoner på Android Oreo
  • Samsung Galaxy S7
  • Samsung Galaxy S8
  • Samsung Galaxy S9

Dette er dog som nævnt ikke en udtømmende liste, hvilket betyder, at flere andre enheder sandsynligvis også gør det er blevet påvirket af denne sårbarhed på trods af at have Android-sikkerhedsopdateringer så nye som den fra september 2019. Google Pixel 3 og Pixel 3 XL og Google Pixel 3a og Pixel 3a XL siges at være sikret mod denne sårbarhed. Berørte Pixel-enheder vil have rettet sårbarheden i den kommende Android-sikkerhedsopdatering fra oktober 2019, som skulle gå live om en dag eller to. En patch er blevet gjort tilgængelig for Android-partnere "for at sikre, at Android-økosystemet er beskyttet mod problemet", men når vi ser, hvor skødesløse og nonchalante visse OEM'er er omkring opdateringer, ville vi ikke holde vejret, når vi modtager rettelsen i tide måde.

Project Zero-forskningsholdet har delt en lokal proof-of-concept-udnyttelse for at demonstrere, hvordan denne fejl kan bruges til at få vilkårlig kernelæse/skrive, når den kører lokalt.

Project Zero-forskerholdet har lovet at give en mere detaljeret forklaring af fejlen og metoden til at identificere den i et fremtidigt blogindlæg. ArsTechnica er af den opfattelse, at der er ekstremt ringe chancer for at blive udnyttet af så dyre og målrettede angreb som dette; og at brugere stadig skal vente med at installere ikke-essentielle apps og bruge en ikke-Chrome-browser, indtil patchen er installeret. Efter vores mening vil vi tilføje, at det også ville være klogt at se efter oktober 2019-sikkerhedspatchen til din enhed og installere den så hurtigt som muligt.

Kilde: Projekt Zero

Historie via: ArsTechnica

Opdatering: Zero-day Android-sårbarheden er blevet rettet med sikkerhedsopdateringen fra oktober 2019

CVE-2019-2215, der relaterer til den ovennævnte kerneprivilegie-eskaleringssårbarhed er blevet lappet med oktober 2019 sikkerhedsrettelse, specifikt med sikkerhedspatch-niveau 2019-10-06, som lovet. Hvis en sikkerhedsopdatering er tilgængelig til din enhed, anbefaler vi stærkt, at du installerer den tidligst.

Kilde: Android sikkerhedsbulletin

Via: Twitter: @maddiestone