Project Zeron tutkijat ovat löytäneet aktiivisesti hyödynnetyn nollapäivän tietoturvahaavoittuvuuden, joka vaarantaa Google Pixel -laitteet ja muut! Jatka lukemista!
Päivitys 10.10.2019 klo 3.05 ET: Nollapäivän Android-haavoittuvuus on korjattu 6.10.2019 julkaistulla tietoturvakorjauksella. Vieritä alareunaan saadaksesi lisätietoja. Artikkeli, sellaisena kuin se on julkaistu 6.10.2019, säilytetään alla olevana.
Turvallisuus on ollut yksi niistä tärkeimmät prioriteetit viimeaikaisissa Android-päivityksissä, joissa salaukseen, käyttöoikeuksiin ja yksityisyyteen liittyvään käsittelyyn tehdyt parannukset ja muutokset ovat joitakin otsikon ominaisuuksia. Muita aloitteita mm Project Mainline Android 10:lle tavoitteena on nopeuttaa tietoturvapäivityksiä Android-laitteiden turvallisuuden parantamiseksi. Google on myös ollut ahkera ja täsmällinen tietoturvakorjausten kanssa, ja vaikka nämä ponnistelut ovat sinänsä kiitettävää, Androidin kaltaisessa käyttöjärjestelmässä on aina tilaa hyväksikäytölle ja haavoittuvuuksille. Kuten käy ilmi, hyökkääjien on väitetty käyttävän aktiivisesti Androidin nollapäivän haavoittuvuutta jonka avulla he voivat ottaa täyden hallinnan tiettyihin puhelimiin Googlelta, Huaweilta, Xiaomilta, Samsungilta ja muilta.
Googlen Projekti Zero joukkueella on paljastettua tietoa noin nollapäivän Android-hyödyntämisestä, jonka aktiivisen käytön katsotaan johtuvan NSO ryhmä, vaikka NSO: n edustajat ovat kiistäneet käyttävänsä samaa to ArsTechnica. Tämä hyväksikäyttö on ytimen käyttöoikeuksien eskalointi, joka käyttää a jälkikäyttöinen haavoittuvuus, jolloin hyökkääjä voi täysin murtautua haavoittuvan laitteen ja roottaa sen. Koska hyväksikäyttö on käytettävissä myös Chromen hiekkalaatikosta, se voidaan toimittaa myös verkon kautta on yhdistetty hyväksikäyttöön, joka kohdistuu haavoittuvuuteen Chromen koodissa, jota käytetään hahmontamiseen sisältö.
Yksinkertaisemmalla kielellä hyökkääjä voi asentaa haitallisen sovelluksen haitallisille laitteille ja saavuttaa rootin käyttäjän tietämättä, ja kuten me kaikki tiedämme, tie avautuu kokonaan sen jälkeen. Ja koska se voidaan ketjuttaa toiseen hyväksikäyttöön Chrome-selaimessa, hyökkääjä voi myös toimittaa haitallisen sovelluksen verkkoselaimen kautta, mikä poistaa fyysisen pääsyn tarpeen laite. Jos tämä kuulostaa sinusta vakavalta, se johtuu siitä, että se varmasti on - haavoittuvuus on luokiteltu "korkeaksi" Androidissa. Mikä pahempaa, tämä hyväksikäyttö vaatii vain vähän tai ei ollenkaan laitekohtaista räätälöintiä, ja Project Zeron tutkijoilla on myös todisteita siitä, että hyväksikäyttöä käytetään luonnossa.
Haavoittuvuus korjattiin ilmeisesti joulukuussa 2017 Linux Kernel 4.14 LTS -julkaisu mutta ilman seuranta-CVE: tä. Korjaus sisällytettiin sitten versioihin 3.18, 4.4, ja 4.9 Android-ytimestä. Korjaus ei kuitenkaan päässyt Androidin tietoturvapäivityksiin, joten useat laitteet ovat alttiita tälle puutteelle, jota nyt seurataan nimellä CVE-2019-2215.
"Ei tyhjentävä" luettelo laitteista, joiden on todettu olevan vaikutusta, on seuraava:
- Google Pixel
- Google Pixel XL
- Google Pixel 2
- Google Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi Mi A1
- Oppo A3
- Moto Z3
- LG-puhelimet Android Oreolla
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Kuten mainittiin, tämä ei kuitenkaan ole tyhjentävä luettelo, mikä tarkoittaa, että useat muut laitteet todennäköisesti myös tekevät tämä haavoittuvuus on vaikuttanut, vaikka Android-tietoturvapäivitykset ovat yhtä uusia kuin syyskuussa 2019. Google Pixel 3:n ja Pixel 3 XL: n sekä Google Pixel 3a: n ja Pixel 3a XL: n sanotaan olevan turvassa tältä haavoittuvalta. Haavoittuvuuden saaneet Pixel-laitteet korjataan lokakuun 2019 Android-tietoturvapäivityksessä, jonka pitäisi tulla voimaan päivän tai kahden sisällä. Korjaus on asetettu Android-kumppaneiden saataville "varmistaakseen Android-ekosysteemin suojauksen ongelmalta", mutta Koska tietyt OEM-valmistajat ovat huolimattomia ja välinpitämättömiä päivitysten suhteen, emme pidättele hengitystämme saadaksemme korjauksen ajoissa. tavalla.
Project Zero -tutkimusryhmä on jakanut paikallisen käsitteen todisteen hyödyntämisen osoittaakseen, kuinka tätä vikaa voidaan käyttää mielivaltaisten ytimen luku-/kirjoitustoimintojen saamiseen paikallisesti ajettaessa.
Project Zero -tutkimusryhmä on luvannut antaa tulevassa blogikirjoituksessa tarkemman selityksen virheestä ja menetelmästä sen tunnistamiseksi. ArsTechnica on sitä mieltä, että on erittäin vähäiset mahdollisuudet tulla hyödynnetyiksi niin kalliilla ja kohdistetuilla hyökkäyksillä kuin tämä; ja että käyttäjien tulee edelleen pidättäytyä ei-välttämättömien sovellusten asentamisesta ja käyttää muuta kuin Chrome-selainta, kunnes korjaustiedosto on asennettu. Mielestämme lisäisimme, että olisi myös järkevää etsiä lokakuun 2019 tietoturvakorjaus laitteellesi ja asentaa se mahdollisimman pian.
Lähde: Projekti Zero
Tarina kautta: ArsTechnica
Päivitys: Nollapäivän Android-haavoittuvuus on korjattu lokakuun 2019 tietoturvapäivityksellä
CVE-2019-2215, joka liittyy yllä mainittuun ytimen käyttöoikeuksien eskalaatiohaavoittuvuuteen on korjattu kanssa Lokakuun 2019 tietoturvakorjaus, erityisesti tietoturvakorjaustasolla 2019-10-06, kuten luvattiin. Jos laitteellesi on saatavilla tietoturvapäivitys, suosittelemme sen asentamista aikaisintaan.
Lähde: Android-tietoturvatiedote
Kautta: Twitter: @maddiestone