Istraživači na Project Zero pronašli su aktivno iskorištavanu sigurnosnu ranjivost nultog dana koja ugrožava Google Pixel uređaje i druge! Nastavi čitati!
Ažuriranje 10/10/19 @ 3:05 AM ET: Ranjivost Androida nultog dana zakrpana je sigurnosnom zakrpom od 6. listopada 2019. Pomaknite se do dna za više informacija. Članak objavljen 6. listopada 2019. sačuvan je kao u nastavku.
Sigurnost je jedna od glavni prioriteti u nedavnim ažuriranjima Androida, s poboljšanjima i promjenama enkripcije, dopuštenja i rukovanja povezanim s privatnošću kao neke od glavnih značajki. Ostale inicijative kao npr Project Mainline za Android 10 imaju za cilj ubrzati sigurnosna ažuriranja kako bi Android uređaji bili sigurniji. Google je također bio vrijedan i točan sa sigurnosnim zakrpama, i iako su ovi napori sami po sebi hvalevrijedni, uvijek će biti prostora za iskorištavanje i ranjivosti u OS-u kao što je Android. Kako se ispostavilo, napadači su navodno aktivno iskorištavali zero-day ranjivost u Androidu koji im omogućuje preuzimanje potpune kontrole nad određenim telefonima od Googlea, Huaweija, Xiaomija, Samsunga i drugih.
Googleov Projekt Zero tim ima otkrivene informacije o Android exploit-u nultog dana, čije se aktivno korištenje pripisuje NSO grupa, iako su predstavnici NSO-a demantirali korištenje istog do ArsTechnica. Ovaj exploit je eskalacija privilegija jezgre koja koristi a koristiti-poslije-besplatno ranjivost, dopuštajući napadaču da u potpunosti ugrozi ranjivi uređaj i roota ga. Budući da je exploit također dostupan iz Chrome sandboxa, može se isporučiti i putem weba je uparen s iskorištavanjem koje cilja na ranjivost u kodu u Chromeu koji se koristi za renderiranje sadržaj.
Jednostavnije rečeno, napadač može instalirati zlonamjernu aplikaciju na pogođene uređaje i postići root bez znanja korisnika, a kao što svi znamo, put se nakon toga potpuno otvara. A budući da se može povezati s drugom eksploatacijom u pregledniku Chrome, napadač također može isporučiti zlonamjernu aplikaciju putem web preglednika, uklanjajući potrebu za fizičkim pristupom uređaj. Ako vam ovo zvuči ozbiljno, onda je to zato što sigurno jest -- ranjivost je ocijenjena kao "Visoka ozbiljnost" na Androidu. Što je još gore, ovaj exploit zahtijeva malo ili nimalo prilagodbe po uređaju, a istraživači na Project Zero također imaju dokaz da se exploit koristi u divljini.
Ranjivost je očito zakrpana u prosincu 2017. u Linux Kernel 4.14 LTS izdanje ali bez CVE-a za praćenje. Popravak je zatim uključen u verzije 3.18, 4.4, i 4.9 jezgre Androida. Međutim, popravak nije ušao u sigurnosna ažuriranja Androida, ostavljajući nekoliko uređaja ranjivima na ovu grešku koja se sada prati kao CVE-2019-2215.
"Neiscrpan" popis uređaja za koje je utvrđeno da su pogođeni je sljedeći:
- Google Pixel
- Google Pixel XL
- Google Pixel 2
- Google Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi Mi A1
- Oppo A3
- Moto Z3
- LG telefoni na Androidu Oreo
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Međutim, kao što je spomenuto, ovo nije iscrpan popis, što znači da će vjerojatno biti i nekoliko drugih uređaja pogođeni su ovom ranjivošću unatoč tome što imaju sigurnosna ažuriranja Androida nova poput onog iz rujna 2019. Rečeno je da su Google Pixel 3 i Pixel 3 XL te Google Pixel 3a i Pixel 3a XL sigurni od ove ranjivosti. Zahvaćeni Pixel uređaji imat će ranjivost zakrpanu u nadolazećem sigurnosnom ažuriranju Androida u listopadu 2019., koje bi trebalo biti objavljeno za dan ili dva. Zakrpa je dostupna Android partnerima "kako bi se osiguralo da je Android ekosustav zaštićen od problema", ali s obzirom na to koliko su neki proizvođači originalne opreme nemarni i nonšalantni u vezi s ažuriranjima, ne bismo zadržali dah kad bismo primili popravak na vrijeme način.
Istraživački tim Project Zero podijelio je lokalnu eksploataciju za dokaz koncepta kako bi pokazao kako se ovaj bug može koristiti za dobivanje proizvoljnog čitanja/pisanja kernela kada se izvodi lokalno.
Istraživački tim Project Zero obećao je dati detaljnije objašnjenje buga i metodologije za njegovo prepoznavanje u budućem postu na blogu. ArsTechnica mišljenja je da su izuzetno male šanse da budete iskorišteni tako skupim i ciljanim napadima kao što je ovaj; te da bi korisnici i dalje trebali odustati od instaliranja nebitnih aplikacija i koristiti preglednik koji nije Chrome dok se zakrpa ne instalira. Po našem mišljenju dodali bismo da bi također bilo mudro potražiti sigurnosnu zakrpu za svoj uređaj iz listopada 2019. i instalirati je što je prije moguće.
Izvor: Projekt Zero
Priča putem: ArsTechnica
Ažuriranje: Ranjivost Zero-day Androida zakrpana je sigurnosnim ažuriranjem iz listopada 2019
CVE-2019-2215 koji se odnosi na gore spomenutu ranjivost eskalacije privilegija jezgre je zakrpan s Sigurnosna zakrpa iz listopada 2019, posebno s razinom sigurnosne zakrpe 2019-10-06, kao što je obećano. Ako je dostupno sigurnosno ažuriranje za vaš uređaj, preporučujemo da ga instalirate što prije.
Izvor: Androidov sigurnosni bilten
Preko: Twitter: @maddieston