חוקר אבטחה מצא פרצת אבטחה של אפס יום בליבת לינוקס שפוגעת במכשירי Google Pixel 6 ואחרים.
אבטחת אנדרואיד עברה דרך ארוכה בשנים האחרונות. הטיפוח של תיקוני אבטחה חודשיים הרחיק מאות איומים, בעוד ש-Google Play Protect נמצא שם כדי למנוע תוכנות זדוניות מחנות Play. עם זאת, ישנם עדיין מקרים שבהם שחקנים נוכלים יכולים לנצל נקודות תורפה המוסתרות בקוד של אנדרואיד למטרות מרושעות. Zhenpeng Lin, חוקר אבטחה ודוקטורנט באוניברסיטת Northwestern University, גילה לאחרונה פגיעות כזו ב-Google Pixel 6, ואתה עלול להיות בסיכון גם לאחר התקנת הגרסה האחרונה עדכון אבטחה ביולי 2022.
הפגיעות המדוברת משפיעה על חלק הליבה של אנדרואיד, ומאפשרת לתוקף לקבל גישת קריאה וכתיבה שרירותית, הרשאות שורש וסמכות להשבית את SELinux. עם סוג כזה של הסלמה של הרשאות, שחקן זדוני יכול להתעסק במערכת ההפעלה, לתמרן שגרות אבטחה מובנות ולגרום הרבה יותר נזק.
בעוד לין הדגים את הניצול ב-Google Pixel 6, קומץ מכשירי אנדרואיד מהדור הנוכחי רגישים לאיום האפס הספציפי הזה, כולל Google Pixel 6 Pro ו-Samsung Galaxy S22 מִשׁפָּחָה. למעשה, הפגיעות משפיע על כל מכשיר אנדרואיד המריץ את גרסת ליבת לינוקס 5.10. ליבת הלינוקס הרגילה מושפעת גם כן, לדברי לין.
יש לציין שהפרטים המדויקים של הפגיעות לא פורסמו לציבור. לין, לעומת זאת, אמורה להופיע ב-Black Hat USA 2022 יחד עם שני חוקרים נוספים בשם Yuhang Wu ו-Xinyu Xing. לפי תקציר המצגת שלהם - "זהירות: שיטת ניצול חדשה! אין צינור אלא מגעיל כמו צינור מלוכלך" -- וקטור ההתקפה הוא בעצם גרסה כללית, אך חזקה יותר של המושמץ פגיעות של צינור מלוכלך. יתרה מזאת, ניתן להרחיב אותו כדי להשיג בריחת מיכל גם בלינוקס.
למרות שגוגל כבר קיבלה מידע, עדיין לא ראינו התייחסות CVE ציבורית לפגיעות. נָתוּן כיצד פועלות תיקוני האבטחה של גוגל, ייתכן שלא נראה בעיה זו מטופלת עד שהתיקון של ספטמבר יתחיל. החדשות הטובות הן שזה לא RCE (ביצוע קוד מרחוק) שניתן לנצל ללא אינטראקציה של המשתמש. לדעתנו, אולי הגיוני לדחות את התקנת אפליקציות אקראיות ממקורות לא מהימנים עד לאחר התקנת התיקון.
מָקוֹר:Zhenpeng Lin בטוויטר, כובע שחור
באמצעות:מישאל רחמן