Forscher von Project Zero haben eine aktiv ausgenutzte Zero-Day-Sicherheitslücke gefunden, die Google Pixel-Geräte und andere gefährdet! Weiter lesen!
Update 10.10.19 um 3:05 Uhr ET: Die Zero-Day-Sicherheitslücke in Android wurde mit dem Sicherheitspatch vom 6. Oktober 2019 geschlossen. Für weitere Informationen scrollen Sie nach unten. Der am 6. Oktober 2019 veröffentlichte Artikel wird wie folgt aufbewahrt.
Sicherheit war einer der Top-Prioritäten in den letzten Android-Updates, wobei Verbesserungen und Änderungen an der Verschlüsselung, den Berechtigungen und der datenschutzbezogenen Handhabung einige der Hauptmerkmale sind. Andere Initiativen wie z Projekt Mainline für Android 10 Ziel ist es, Sicherheitsupdates zu beschleunigen, um Android-Geräte sicherer zu machen. Auch bei Sicherheitspatches war Google gewissenhaft und pünktlichAuch wenn diese Bemühungen an sich schon lobenswert sind, wird es in einem Betriebssystem wie Android immer Spielraum für Exploits und Schwachstellen geben. Es stellte sich heraus, dass Angreifer offenbar eine Zero-Day-Sicherheitslücke in Android aktiv ausnutzten Dadurch können sie die volle Kontrolle über bestimmte Telefone von Google, Huawei, Xiaomi, Samsung und anderen übernehmen.
Googles Projekt Null Team hat enthüllte Informationen über einen Zero-Day-Android-Exploit, dessen aktive Nutzung dem zugeschrieben wird NSO-Gruppe, obwohl Vertreter von NSO die Verwendung desselben bestritten haben Zu ArsTechnica. Bei diesem Exploit handelt es sich um eine Eskalation von Kernel-Berechtigungen, die a Nachnutzung kostenlos Sicherheitslücke, die es dem Angreifer ermöglicht, ein anfälliges Gerät vollständig zu kompromittieren und zu rooten. Da der Exploit auch über die Chrome-Sandbox zugänglich ist, kann er nach seiner Aktivierung auch über das Web bereitgestellt werden ist mit einem Exploit gepaart, der auf eine Schwachstelle im Code in Chrome abzielt, der zum Rendern verwendet wird Inhalt.
Einfacher ausgedrückt kann ein Angreifer ohne Wissen des Benutzers eine bösartige Anwendung auf betroffenen Geräten installieren und Root erreichen, und wie wir alle wissen, ist der Weg danach völlig frei. Und da es mit einem anderen Exploit im Chrome-Browser verkettet werden kann, kann der Angreifer auch ausliefern die bösartige Anwendung über den Webbrowser, wodurch die Notwendigkeit eines physischen Zugriffs auf die Schadanwendung entfällt Gerät. Wenn Ihnen das ernst vorkommt, dann liegt das daran, dass es ganz sicher so ist – die Schwachstelle wurde auf Android als „Hoher Schweregrad“ eingestuft. Was noch schlimmer ist: Dieser Exploit erfordert kaum oder gar keine Anpassung pro Gerät und die Forscher von Project Zero haben auch Beweise dafür, dass der Exploit in freier Wildbahn verwendet wird.
Die Schwachstelle wurde offenbar im Dezember 2017 behoben Linux Kernel 4.14 LTS-Version aber ohne Tracking-CVE. Der Fix wurde dann in Versionen integriert 3.18, 4.4, Und 4.9 des Android-Kernels. Der Fix wurde jedoch nicht in die Android-Sicherheitsupdates aufgenommen, sodass mehrere Geräte für diesen Fehler anfällig sind, der jetzt als CVE-2019-2215 verfolgt wird.
Die „nicht erschöpfende“ Liste der nachweislich betroffenen Geräte lautet wie folgt:
- Google Pixel
- Google Pixel XL
- Google Pixel 2
- Google Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi Mi A1
- Oppo A3
- Moto Z3
- LG-Telefone mit Android Oreo
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Allerdings handelt es sich, wie bereits erwähnt, nicht um eine erschöpfende Liste, was bedeutet, dass dies wahrscheinlich auch bei mehreren anderen Geräten der Fall sein wird sind von dieser Sicherheitslücke betroffen, obwohl es über so neue Android-Sicherheitsupdates wie das vom September verfügt 2019. Das Google Pixel 3 und Pixel 3 XL sowie das Google Pixel 3a und Pixel 3a XL sollen vor dieser Sicherheitslücke sicher sein. Bei betroffenen Pixel-Geräten wird die Schwachstelle im kommenden Android-Sicherheitsupdate vom Oktober 2019 behoben, das in ein oder zwei Tagen verfügbar sein sollte. Android-Partnern wurde ein Patch zur Verfügung gestellt, „um sicherzustellen, dass das Android-Ökosystem vor dem Problem geschützt ist“, aber Angesichts der Nachlässigkeit und Lässigkeit einiger OEMs bei Updates würden wir nicht den Atem anhalten, wenn wir das Update rechtzeitig erhalten Benehmen.
Das Forschungsteam von Project Zero hat einen lokalen Proof-of-Concept-Exploit veröffentlicht, um zu demonstrieren, wie dieser Fehler ausgenutzt werden kann, um bei lokaler Ausführung beliebige Kernel-Lese-/Schreibzugriffe zu erhalten.
Das Forschungsteam von Project Zero hat versprochen, in einem zukünftigen Blogbeitrag eine detailliertere Erklärung des Fehlers und der Methode zu seiner Identifizierung bereitzustellen. ArsTechnica ist der Ansicht, dass die Wahrscheinlichkeit, von solch kostspieligen und gezielten Angriffen wie diesem ausgenutzt zu werden, äußerst gering ist; und dass Benutzer weiterhin mit der Installation nicht unbedingt erforderlicher Apps zurückhalten und einen Nicht-Chrome-Browser verwenden sollten, bis der Patch installiert ist. Unserer Meinung nach möchten wir hinzufügen, dass es auch ratsam wäre, auf den Sicherheitspatch vom Oktober 2019 für Ihr Gerät zu achten und ihn so schnell wie möglich zu installieren.
Quelle: Projekt Null
Geschichte über: ArsTechnica
Update: Die Zero-Day-Android-Sicherheitslücke wurde mit dem Sicherheitsupdate vom Oktober 2019 behoben
CVE-2019-2215, das sich auf die oben erwähnte Sicherheitslücke bezüglich der Eskalation von Kernel-Privilegien bezieht wurde gepatcht mit dem Sicherheitspatch vom Oktober 2019, insbesondere mit Sicherheitspatch-Level 2019-10-06, wie versprochen. Wenn für Ihr Gerät ein Sicherheitsupdate verfügbar ist, empfehlen wir dringend, es so früh wie möglich zu installieren.
Quelle: Android-Sicherheitsbulletin
Über: Twitter: @maddiestone