Tietoturvatutkija on löytänyt Linux-ytimestä nollapäivän tietoturvahaavoittuvuuden, joka vaarantaa Google Pixel 6:n ja muut puhelimet.
Android-tietoturva on kehittynyt pitkälle viime vuosina. Kuukausittaisten tietoturvakorjausten edistäminen on pitänyt satoja uhkia loitolla, kun taas Google Play Protect on valmis estämään haittaohjelmia Play Kaupasta. Edelleen on kuitenkin tapauksia, joissa rikolliset toimijat voivat hyödyntää Androidin koodiin piilotettuja haavoittuvuuksia ilkeisiin tarkoituksiin. Zhenpeng Lin, tietoturvatutkija ja Northwestern Universityn tohtoriopiskelija, löysi äskettäin tällaisen haavoittuvuuden Google Pixel 6:ssa, ja saatat olla vaarassa jopa uusimman version asentamisen jälkeen. Heinäkuun 2022 tietoturvapäivitys.
Kyseinen haavoittuvuus vaikuttaa Androidin ydinosaan, jolloin hyökkääjä voi saada mielivaltaiset luku- ja kirjoitusoikeudet, pääkäyttäjän oikeudet ja valtuudet poistaa SELinux käytöstä. Tällaisella oikeuksien eskaloitumisella pahantahtoinen toimija voi peukaloida käyttöjärjestelmää, manipuloida sisäänrakennettuja suojausrutiineja ja aiheuttaa paljon enemmän vahinkoa.
Vaikka Lin esitteli hyödyntämistä Google Pixel 6:ssa, kourallinen nykyisen sukupolven Android-laitteita on alttiita tälle tietylle nollapäivän uhalle, mukaan lukien Google Pixel 6 Pro ja Samsung Galaxy S22 perhe. Itse asiassa haavoittuvuus vaikuttaa kaikkiin Android-laitteisiin, joissa on Linux-ytimen versio 5.10. Linin mukaan tämä vaikuttaa myös tavalliseen Linux-ytimeen.
Erityisesti haavoittuvuuden tarkkoja tietoja ei ole julkaistu julkisesti. Lin on kuitenkin määrä esiintyä Black Hat USA 2022 -tapahtumassa kahden muun tutkijan, Yuhang Wun ja Xinyu Xingin, kanssa. Heidän esityksensä mukaan: "Varovaisuutta: uusi hyödyntämismenetelmä! Ei putkea, mutta niin ilkeä kuin likainen putki" – hyökkäysvektori on pohjimmiltaan yleistetty, mutta silti tehokkaampi versio pahamaineisesta Dirty Pipe -haavoittuvuus. Lisäksi sitä voidaan laajentaa saavuttamaan konttipako myös Linuxissa.
Vaikka Googlelle on jo ilmoitettu, emme ole vielä nähneet mitään julkista CVE-viittausta haavoittuvuudesta. Annettu miten Googlen tietoturvakorjaukset toimivat, emme ehkä näe tätä ongelmaa ratkaistua ennen kuin syyskuun korjaustiedosto julkaistaan. Hyvä uutinen on, että se ei ole RCE (remote code execution), jota voidaan hyödyntää ilman käyttäjän vuorovaikutusta. Mielestämme voi olla järkevää lykätä satunnaisten sovellusten asentamista ei-luotettavista lähteistä siihen asti, kun korjaustiedosto on asennettu.
Lähde:Zhenpeng Lin Twitterissä, Musta hattu
Kautta:Mishaal Rahman