I ricercatori di Project Zero hanno scoperto una vulnerabilità di sicurezza zero-day sfruttata attivamente che compromette i dispositivi Google Pixel e altri! Continuare a leggere!
Aggiornamento del 10/10/19 alle 3:05 ET: La vulnerabilità Android zero-day è stata risolta con la patch di sicurezza del 6 ottobre 2019. Scorri fino in fondo per ulteriori informazioni. L'articolo pubblicato il 6 ottobre 2019 è conservato come di seguito.
La sicurezza è stata una delle priorità principali negli ultimi aggiornamenti Android, con miglioramenti e modifiche alla crittografia, alle autorizzazioni e alla gestione relativa alla privacy che sono alcune delle caratteristiche principali. Altre iniziative come Progetto Mainline per Android 10 mirano ad accelerare gli aggiornamenti di sicurezza per rendere i dispositivi Android più sicuri. Anche Google è stata diligente e puntuale con le patch di sicurezzae, sebbene questi sforzi siano lodevoli di per sé, rimarrà sempre spazio per exploit e vulnerabilità in un sistema operativo come Android. A quanto pare, gli aggressori sarebbero stati scoperti a sfruttare attivamente una vulnerabilità zero-day in Android ciò consente loro di assumere il pieno controllo di alcuni telefoni di Google, Huawei, Xiaomi, Samsung e altri.
Quello di Google Progetto Zero la squadra ha informazioni rivelate su un exploit Android zero-day, il cui utilizzo attivo è attribuito a Gruppo NSO, sebbene i rappresentanti di NSO abbiano negato l'utilizzo dello stesso A ArsTechnica. Questo exploit è un'escalation dei privilegi del kernel che utilizza a utilizzare dopo-libero vulnerabilità, consentendo all'aggressore di compromettere completamente un dispositivo vulnerabile e di eseguirne il root. Dato che l'exploit è accessibile anche dalla sandbox di Chrome, una volta raggiunto può essere diffuso anche via web è abbinato a un exploit che prende di mira una vulnerabilità nel codice di Chrome utilizzato per il rendering contenuto.
In termini più semplici, un utente malintenzionato può installare un'applicazione dannosa sui dispositivi interessati e ottenere il root all'insaputa dell'utente, dopodiché, come tutti sappiamo, la strada si apre completamente. E poiché può essere concatenato con un altro exploit nel browser Chrome, l'aggressore può anche farlo l'applicazione dannosa attraverso il browser web, eliminando la necessità di accesso fisico al dispositivo. Se questo ti sembra serio, è perché certamente lo è: la vulnerabilità è stata classificata come "Gravità elevata" su Android. Quel che è peggio, questo exploit richiede poca o nessuna personalizzazione per dispositivo, e i ricercatori di Project Zero hanno anche prove del fatto che l'exploit viene utilizzato in natura.
Apparentemente la vulnerabilità è stata risolta nel dicembre 2017 nel file Versione Linux Kernel 4.14 LTS ma senza CVE di tracciamento. La correzione è stata quindi incorporata nelle versioni 3.18, 4.4, E 4.9 del kernel Android. Tuttavia, la correzione non è stata inclusa negli aggiornamenti di sicurezza di Android, lasciando diversi dispositivi vulnerabili a questo difetto che ora viene tracciato come CVE-2019-2215.
L'elenco "non esaustivo" dei dispositivi che sono risultati interessati è il seguente:
- GooglePixel
- Google Pixel XL
- GooglePixel2
- GooglePixel2XL
- Huawei P20
- XiaomiRedmi 5A
- Xiaomi Redmi Nota 5
- Xiaomi Mi A1
- Oppo A3
- Moto Z3
- Telefoni LG su Android Oreo
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Tuttavia, come accennato, questo non è un elenco esaustivo, il che significa che è probabile che lo siano anche molti altri dispositivi sono stati colpiti da questa vulnerabilità nonostante dispongano di aggiornamenti di sicurezza Android nuovi come quello di settembre 2019. Si dice che Google Pixel 3 e Pixel 3 XL e Google Pixel 3a e Pixel 3a XL siano al sicuro da questa vulnerabilità. I dispositivi Pixel interessati verranno corretti con la vulnerabilità nel prossimo aggiornamento di sicurezza Android di ottobre 2019, che dovrebbe essere pubblicato tra un giorno o due. Una patch è stata messa a disposizione dei partner Android "per garantire che l'ecosistema Android sia protetto dal problema", ma vedendo quanto alcuni OEM siano negligenti e disinvolti riguardo agli aggiornamenti, non tratterremmo il fiato nel ricevere la correzione in tempo maniera.
Il team di ricerca di Project Zero ha condiviso un exploit proof-of-concept locale per dimostrare come questo bug possa essere utilizzato per ottenere operazioni di lettura/scrittura arbitrarie del kernel durante l'esecuzione locale.
Il team di ricerca di Project Zero ha promesso di fornire una spiegazione più dettagliata del bug e della metodologia per identificarlo in un futuro post sul blog. ArsTechnica è del parere che vi siano estremamente scarse possibilità di essere sfruttati da attacchi costosi e mirati come questo; e che gli utenti dovrebbero comunque astenersi dall'installare app non essenziali e utilizzare un browser non Chrome fino all'installazione della patch. A nostro avviso aggiungiamo che sarebbe anche prudente cercare la patch di sicurezza di ottobre 2019 per il proprio dispositivo e installarla il prima possibile.
Fonte: Progetto Zero
Storia tramite: ArsTechnica
Aggiornamento: la vulnerabilità Android zero-day è stata risolta con l'aggiornamento di sicurezza di ottobre 2019
CVE-2019-2215 che si riferisce alla vulnerabilità di escalation dei privilegi del kernel sopra menzionata è stato patchato con il Patch di sicurezza di ottobre 2019, in particolare con il livello di patch di sicurezza 2019-10-06, come promesso. Se è disponibile un aggiornamento di sicurezza per il tuo dispositivo, ti consigliamo vivamente di installarlo al più presto.
Fonte: Bollettino sulla sicurezza Android
Attraverso: Twitter: @maddiestone