Para peneliti di Project Zero telah menemukan kerentanan keamanan zero-day yang dieksploitasi secara aktif yang membahayakan perangkat Google Pixel dan perangkat lainnya! Baca terus!
Pembaruan 10/10/19 @ 3:05 ET: Kerentanan Android zero-day telah ditambal dengan patch keamanan 6 Oktober 2019. Gulir ke bawah untuk informasi lebih lanjut. Artikel yang terbit pada 6 Oktober 2019 dipertahankan seperti di bawah ini.
Keamanan telah menjadi salah satunya prioritas utama dalam pembaruan Android terkini, dengan peningkatan dan perubahan pada enkripsi, izin, dan penanganan terkait privasi menjadi beberapa fitur utama. Inisiatif lain seperti Proyek Arus Utama untuk Android 10 bertujuan untuk mempercepat pembaruan keamanan untuk membuat perangkat Android lebih aman. Google juga rajin dan tepat waktu dalam melakukan patch keamanan, dan meskipun upaya ini patut dipuji, akan selalu ada ruang untuk eksploitasi dan kerentanan dalam OS seperti Android. Ternyata, penyerang diduga ditemukan aktif mengeksploitasi kerentanan zero-day di Android yang memungkinkan mereka mengambil alih kendali penuh atas ponsel tertentu dari Google, Huawei, Xiaomi, Samsung, dan lainnya.
milik Google Proyek Nol tim punya informasi yang terungkap tentang eksploitasi Android zero-day, yang penggunaan aktifnya dikaitkan dengan kelompok NSO, meskipun perwakilan dari NSO membantah penggunaan hal yang sama ke ArsTechnica. Eksploitasi ini adalah eskalasi hak istimewa kernel yang menggunakan a gunakan setelah bebas kerentanan, memungkinkan penyerang untuk sepenuhnya mengkompromikan perangkat yang rentan dan melakukan root pada perangkat tersebut. Karena eksploitasi juga dapat diakses dari kotak pasir Chrome, eksploitasi juga dapat dikirimkan melalui web dipasangkan dengan eksploitasi yang menargetkan kerentanan pada kode di Chrome yang digunakan untuk merender isi.
Dalam bahasa yang lebih sederhana, penyerang dapat menginstal aplikasi jahat pada perangkat yang terpengaruh dan mencapai root tanpa sepengetahuan pengguna, dan seperti yang kita semua tahu, jalan terbuka sepenuhnya setelah itu. Dan karena dapat dirantai dengan eksploitasi lain di browser Chrome, penyerang juga dapat melakukan serangan tersebut aplikasi jahat melalui browser web, menghilangkan kebutuhan akan akses fisik ke perangkat. Jika ini terdengar serius bagi Anda, itu memang benar -- kerentanannya dinilai "Keparahan Tinggi" di Android. Yang lebih buruk lagi, eksploitasi ini memerlukan sedikit atau bahkan tidak ada penyesuaian per perangkat, dan para peneliti di Project Zero juga memiliki bukti bahwa eksploitasi tersebut digunakan secara liar.
Kerentanan tersebut tampaknya telah ditambal pada bulan Desember 2017 di Rilis Kernel Linux 4.14 LTS tapi tanpa CVE pelacakan. Perbaikan tersebut kemudian dimasukkan ke dalam versi 3.18, 4.4, Dan 4.9 dari kernel Android. Namun, perbaikan tersebut tidak berhasil dalam pembaruan keamanan Android, sehingga menyebabkan beberapa perangkat rentan terhadap kelemahan ini yang sekarang dilacak sebagai CVE-2019-2215.
Daftar "tidak lengkap" perangkat yang ditemukan terpengaruh adalah sebagai berikut:
- Google Piksel
- Google Piksel XL
- Google Piksel 2
- Google Piksel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Catatan 5
- Xiaomi Mi A1
- Oppo A3
- Moto Z3
- Ponsel LG di Android Oreo
- Samsung Galaksi S7
- Samsung Galaksi S8
- Samsung Galaksi S9
Namun, seperti yang telah disebutkan, ini bukanlah daftar yang lengkap, yang berarti beberapa perangkat lain mungkin juga akan mengalami hal yang sama telah terpengaruh oleh kerentanan ini meskipun terdapat pembaruan keamanan Android yang sama barunya dengan pembaruan pada bulan September 2019. Google Pixel 3 dan Pixel 3 XL serta Google Pixel 3a dan Pixel 3a XL dikatakan aman dari kerentanan ini. Kerentanan pada perangkat Pixel yang terkena dampak akan ditambal pada pembaruan keamanan Android Oktober 2019 mendatang, yang akan diluncurkan dalam satu atau dua hari. Patch telah tersedia untuk mitra Android "untuk memastikan ekosistem Android terlindungi dari masalah ini", namun melihat betapa ceroboh dan acuh tak acuhnya OEM tertentu terhadap pembaruan, kami tidak akan menahan diri untuk menerima perbaikan tepat waktu tata krama.
Tim peneliti Project Zero telah membagikan eksploitasi bukti konsep lokal untuk menunjukkan bagaimana bug ini dapat digunakan untuk mendapatkan pembacaan/penulisan kernel secara sewenang-wenang ketika dijalankan secara lokal.
Tim peneliti Project Zero telah berjanji untuk memberikan penjelasan lebih rinci tentang bug tersebut dan metodologi untuk mengidentifikasinya dalam postingan blog mendatang. ArsTechnica berpendapat bahwa kecil kemungkinannya untuk dieksploitasi oleh serangan yang mahal dan ditargetkan seperti ini; dan pengguna tetap harus menunda pemasangan aplikasi yang tidak penting dan menggunakan browser non-Chrome hingga patch dipasang. Menurut pendapat kami, kami ingin menambahkan bahwa sebaiknya Anda juga mencari patch keamanan Oktober 2019 untuk perangkat Anda dan menginstalnya sesegera mungkin.
Sumber: Proyek Nol
Cerita Melalui: ArsTechnica
Pembaruan: Kerentanan Android Zero-day telah ditambal dengan pembaruan keamanan Oktober 2019
CVE-2019-2215 yang terkait dengan kerentanan eskalasi hak istimewa kernel yang disebutkan di atas telah ditambal dengan Patch keamanan Oktober 2019, khususnya dengan level patch keamanan 06-10-2019, seperti yang dijanjikan. Jika pembaruan keamanan tersedia untuk perangkat Anda, kami sangat menyarankan untuk menginstalnya sedini mungkin.
Sumber: Buletin Keamanan Android
Melalui: Twitter: @maddiestone