Projekti Zero teadlased leidsid aktiivselt ära kasutatud nullpäeva turvaauku, mis ohustab Google Pixeli seadmeid ja teisi! Loe edasi!
Värskendus 10.10.19 kell 3:05 ET: Androidi nullpäeva haavatavus on parandatud 6. oktoobri 2019 turvapaigaga. Lisateabe saamiseks kerige alla. 6. oktoobril 2019 avaldatud artiklit säilitatakse järgmiselt.
Turvalisus on olnud üks Androidi viimaste värskenduste peamised prioriteedid, mille peamiste funktsioonide hulka kuuluvad krüptimise, lubade ja privaatsusega seotud käsitlemise täiustused ja muudatused. Muud algatused nagu Project Mainline Android 10 jaoks eesmärk on kiirendada turvavärskendusi, et muuta Android-seadmed turvalisemaks. Google on olnud ka hoolas ja täpne turvapaikade osas, ja kuigi need jõupingutused on iseenesest kiiduväärt, jääb sellistes operatsioonisüsteemides nagu Android alati ruumi ärakasutamiseks ja haavatavusteks. Nagu selgub, on väidetavalt leitud ründajad, kes kasutavad aktiivselt ära Androidi nullpäeva turvaauku mis võimaldab neil üle võtta täieliku kontrolli teatud telefonide üle Google'ilt, Huaweilt, Xiaomilt, Samsungilt ja teistelt.
Google'i oma Projekt null meeskonnal on avaldatud teave umbes nullpäeva Androidi ärakasutamine, mille aktiivne kasutamine on omistatud NSO rühm, kuigi NSO esindajad on selle kasutamisest keeldunud juurde ArsTechnica. See ärakasutamine on kerneli privileegide eskalatsioon, mis kasutab a kasutus pärast tasuta haavatavus, mis võimaldab ründajal haavatavat seadet täielikult ohustada ja selle juurutada. Kuna eksploit on juurdepääsetav ka Chrome'i liivakastist, saab selle pärast seda ka veebi kaudu edastada on seotud ärakasutamisega, mis sihib renderdamiseks kasutatava Chrome'i koodi haavatavust sisu.
Lihtsamas keeles võib ründaja mõjutatud seadmetele installida pahatahtliku rakenduse ja saavutada kasutaja teadmata rooti ning nagu me kõik teame, avaneb tee pärast seda täielikult. Ja kuna seda saab Chrome'i brauseris aheldada mõne teise äkilise toiminguga, saab ründaja ka toimetada pahatahtlikku rakendust veebibrauseri kaudu, eemaldades vajaduse füüsilise juurdepääsu järele seade. Kui see tundub teile tõsine, siis see on sellepärast, et see kindlasti nii on – haavatavus on Androidis hinnatud kõrge raskusastmega. Mis veelgi hullem, see ärakasutamine nõuab seadmepõhist kohandamist vähe või üldse mitte ning Project Zero teadlastel on ka tõendeid selle ärakasutamise kohta looduses.
Haavatavus parandati ilmselt 2017. aasta detsembris Linux Kernel 4.14 LTS väljalase kuid ilma jälgiva CVE-ta. Seejärel lisati parandus versioonidesse 3.18, 4.4ja 4.9 Androidi kernelist. Parandus ei jõudnud aga Androidi turvavärskendustesse, jättes mitmed seadmed haavatavaks selle vea suhtes, mida nüüd jälgitakse kui CVE-2019-2215.
Mõjutatud seadmete "mittetäielik" loend on järgmine.
- Google Pixel
- Google Pixel XL
- Google Pixel 2
- Google Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi Mi A1
- Oppo A3
- Moto Z3
- LG telefonid Android Oreoga
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Kuid nagu mainitud, pole see ammendav loetelu, mis tähendab, et tõenäoliselt on seda ka mitmed teised seadmed on see haavatavus mõjutanud, hoolimata sellest, et Androidi turvavärskendused on sama uued kui septembris 2019. Väidetavalt on Google Pixel 3 ja Pixel 3 XL ning Google Pixel 3a ja Pixel 3a XL selle haavatavuse eest kaitstud. Mõjutatud Pixeli seadmete haavatavus parandatakse 2019. aasta oktoobris ilmuvas Androidi turvavärskenduses, mis peaks avaldama päeva või paari pärast. Androidi partneritele on tehtud kättesaadavaks plaaster, "tagamaks Androidi ökosüsteemi kaitset probleemi eest", kuid Nähes, kui hoolimatud ja hoolimatud teatud originaalseadmete tootjad on uuenduste suhtes, ei hoiaks me hinge kinni, kui parandus õigel ajal kätte saada. viisil.
Project Zero uurimisrühm on jaganud kohalikku kontseptsiooni tõestust, et näidata, kuidas seda viga saab kasutada lokaalsel töötamisel kerneli suvalise lugemise/kirjutamise saavutamiseks.
Projekti Zero uurimisrühm on lubanud tulevases ajaveebi postituses anda vea üksikasjalikuma selgituse ja selle tuvastamise metoodika. ArsTechnica on arvamusel, et nii kallite ja sihipäraste rünnakute puhul on äärmiselt väike tõenäosus, et neid kasutatakse ära nii kallite ja sihipäraste rünnakute puhul; ja et kasutajad peaksid siiski hoiduma ebaoluliste rakenduste installimisest ja kasutama mitte-Chrome'i brauserit, kuni plaaster on installitud. Meie hinnangul lisame, et samuti oleks mõistlik vaadata oma seadmele 2019. aasta oktoobri turvapaiga olemasolu ja installida see esimesel võimalusel.
Allikas: Projekt null
Lugu läbi: ArsTechnica
Värskendus: Androidi nullpäeva haavatavus on paigatud 2019. aasta oktoobri turvavärskendusega
CVE-2019-2215, mis on seotud ülalmainitud kerneli privileegide eskalatsiooni haavatavusega on lapitud koos 2019. aasta oktoobri turvaparandus, täpsemalt turvapaiga tasemega 2019-10-06, nagu lubatud. Kui teie seadme jaoks on saadaval turvavärskendus, soovitame selle installida kõige varem.
Allikas: Androidi turvabülletään
Läbi: Twitter: @maddiestone