Οι ερευνητές στο Project Zero ανακάλυψαν μια ευπάθεια ασφαλείας zero-day που έχει εκμεταλλευτεί ενεργά και θέτει σε κίνδυνο τις συσκευές Google Pixel και άλλες! Συνέχισε να διαβάζεις!
Ενημέρωση 10/10/19 @ 3:05 π.μ. ET: Η ευπάθεια zero-day Android έχει επιδιορθωθεί με την ενημερωμένη έκδοση κώδικα ασφαλείας της 6ης Οκτωβρίου 2019. Κάντε κύλιση προς τα κάτω για περισσότερες πληροφορίες. Το άρθρο όπως δημοσιεύτηκε στις 6 Οκτωβρίου 2019, διατηρείται ως παρακάτω.
Η ασφάλεια ήταν ένα από τα κορυφαίες προτεραιότητες στις πρόσφατες ενημερώσεις Android, με βελτιώσεις και αλλαγές στην κρυπτογράφηση, τις άδειες και τον χειρισμό που σχετίζεται με το απόρρητο να είναι μερικά από τα κύρια χαρακτηριστικά. Άλλες πρωτοβουλίες όπως π.χ Project Mainline για Android 10 στοχεύουν στην επιτάχυνση των ενημερώσεων ασφαλείας, προκειμένου να κάνουν τις συσκευές Android πιο ασφαλείς. Η Google ήταν επίσης επιμελής και ακριβής με τις ενημερώσεις κώδικα ασφαλείας, και ενώ αυτές οι προσπάθειες είναι αξιέπαινες από μόνες τους, θα υπάρχει πάντα περιθώριο για εκμεταλλεύσεις και τρωτά σημεία σε ένα λειτουργικό σύστημα όπως το Android. Όπως αποδεικνύεται, οι εισβολείς φέρεται να εκμεταλλεύονται ενεργά μια ευπάθεια zero-day στο Android που τους επιτρέπει να αναλαμβάνουν τον πλήρη έλεγχο ορισμένων τηλεφώνων από την Google, τη Huawei, τη Xiaomi, τη Samsung και άλλες.
της Google Έργο Μηδέν η ομάδα έχει αποκάλυψε πληροφορίες σχετικά με ένα zero-day Android exploit, η ενεργή χρήση του οποίου αποδίδεται στο Ομάδα NSO, αν και εκπρόσωποι της NSO έχουν αρνηθεί τη χρήση του ίδιου προς την ArsTechnica. Αυτό το exploit είναι μια κλιμάκωση προνομίων πυρήνα που χρησιμοποιεί a χρήση-μετά-δωρεάν ευπάθεια, επιτρέποντας στον εισβολέα να υπονομεύσει πλήρως μια ευάλωτη συσκευή και να την ριζώσει. Δεδομένου ότι το exploit είναι επίσης προσβάσιμο από το sandbox του Chrome, μπορεί επίσης να παραδοθεί μέσω του ιστού μόλις γίνει συνδυάζεται με ένα exploit που στοχεύει μια ευπάθεια στον κώδικα στο Chrome που χρησιμοποιείται για την απόδοση περιεχόμενο.
Σε απλούστερη γλώσσα, ένας εισβολέας μπορεί να εγκαταστήσει μια κακόβουλη εφαρμογή σε συσκευές που επηρεάζονται και να αποκτήσει root χωρίς τη γνώση του χρήστη, και όπως όλοι γνωρίζουμε, ο δρόμος ανοίγει εντελώς μετά από αυτό. Και δεδομένου ότι μπορεί να συνδεθεί με ένα άλλο exploit στο πρόγραμμα περιήγησης Chrome, ο εισβολέας μπορεί επίσης να προσφέρει την κακόβουλη εφαρμογή μέσω του προγράμματος περιήγησης ιστού, καταργώντας την ανάγκη για φυσική πρόσβαση στο συσκευή. Εάν αυτό σας φαίνεται σοβαρό, τότε αυτό οφείλεται στο γεγονός ότι είναι σίγουρα -- η ευπάθεια έχει βαθμολογηθεί ως "Υψηλής σοβαρότητας" στο Android. Το χειρότερο, αυτό το exploit απαιτεί ελάχιστη έως καθόλου προσαρμογή ανά συσκευή και οι ερευνητές στο Project Zero έχουν επίσης αποδείξεις ότι το exploit χρησιμοποιείται στη φύση.
Η ευπάθεια προφανώς επιδιορθώθηκε τον Δεκέμβριο του 2017 στο Έκδοση Linux Kernel 4.14 LTS αλλά χωρίς CVE παρακολούθησης. Η επιδιόρθωση στη συνέχεια ενσωματώθηκε σε εκδόσεις 3.18, 4.4, και 4.9 του πυρήνα Android. Ωστόσο, η επιδιόρθωση δεν μπήκε στις ενημερώσεις ασφαλείας Android, αφήνοντας αρκετές συσκευές ευάλωτες σε αυτό το ελάττωμα που τώρα παρακολουθείται ως CVE-2019-2215.
Η "μη εξαντλητική" λίστα των συσκευών που έχει διαπιστωθεί ότι επηρεάζονται είναι η εξής:
- Google Pixel
- Google Pixel XL
- Google Pixel 2
- Google Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi Mi A1
- Oppo A3
- Moto Z3
- Τηλέφωνα LG σε Android Oreo
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Ωστόσο, όπως αναφέρθηκε, αυτή δεν είναι μια εξαντλητική λίστα, πράγμα που σημαίνει ότι πολλές άλλες συσκευές είναι επίσης πιθανό να το κάνουν έχουν επηρεαστεί από αυτήν την ευπάθεια παρά το γεγονός ότι έχουν ενημερώσεις ασφαλείας Android τόσο νέες όσο αυτές του Σεπτεμβρίου 2019. Τα Google Pixel 3 και Pixel 3 XL και Google Pixel 3a και Pixel 3a XL λέγεται ότι είναι ασφαλή από αυτήν την ευπάθεια. Οι επηρεαζόμενες συσκευές Pixel θα έχουν επιδιορθωθεί η ευπάθεια στην επερχόμενη ενημέρωση ασφαλείας Android του Οκτωβρίου 2019, η οποία θα κυκλοφορήσει σε μια ή δύο ημέρες. Μια ενημέρωση κώδικα έχει διατεθεί στους συνεργάτες Android "προκειμένου να διασφαλιστεί ότι το οικοσύστημα Android προστατεύεται από το πρόβλημα", αλλά βλέποντας πόσο απρόσεκτοι και αδιάφοροι είναι ορισμένοι OEM σχετικά με τις ενημερώσεις, δεν θα κρατούσαμε την ανάσα μας αν λάβουμε έγκαιρα την επιδιόρθωση τρόπος.
Η ερευνητική ομάδα του Project Zero μοιράστηκε ένα τοπικό exploit απόδειξης ιδέας για να δείξει πώς αυτό το σφάλμα μπορεί να χρησιμοποιηθεί για την απόκτηση αυθαίρετης ανάγνωσης/εγγραφής πυρήνα όταν εκτελείται τοπικά.
Η ερευνητική ομάδα του Project Zero υποσχέθηκε να παράσχει μια πιο λεπτομερή εξήγηση για το σφάλμα και τη μεθοδολογία για τον εντοπισμό του σε μια μελλοντική ανάρτηση ιστολογίου. ArsTechnica είναι της γνώμης ότι υπάρχουν εξαιρετικά μικρές πιθανότητες εκμετάλλευσης από επιθέσεις τόσο ακριβές και στοχευμένες όσο αυτή· και ότι οι χρήστες θα πρέπει να σταματήσουν να εγκαταστήσουν μη βασικές εφαρμογές και να χρησιμοποιούν πρόγραμμα περιήγησης που δεν είναι Chrome μέχρι να εγκατασταθεί η ενημέρωση κώδικα. Κατά τη γνώμη μας, θα προσθέταμε ότι θα ήταν επίσης συνετό να προσέξετε την ενημερωμένη έκδοση κώδικα ασφαλείας του Οκτωβρίου 2019 για τη συσκευή σας και να την εγκαταστήσετε το συντομότερο δυνατό.
Πηγή: Έργο Μηδέν
Story Via: ArsTechnica
Ενημέρωση: Η ευπάθεια Zero-day Android επιδιορθώθηκε με την ενημέρωση ασφαλείας του Οκτωβρίου 2019
CVE-2019-2215 που σχετίζεται με την προαναφερθείσα ευπάθεια κλιμάκωσης προνομίων πυρήνα έχει επιδιορθωθεί με την Ενημερωμένη έκδοση κώδικα ασφαλείας Οκτωβρίου 2019, συγκεκριμένα με το επίπεδο ενημερωμένης έκδοσης κώδικα ασφαλείας 2019-10-06, όπως υποσχέθηκε. Εάν υπάρχει διαθέσιμη ενημέρωση ασφαλείας για τη συσκευή σας, συνιστούμε να την εγκαταστήσετε το συντομότερο.
Πηγή: Δελτίο ασφαλείας Android
Μέσω: Twitter: @maddiestone