חוקרים ב-Project Zero מצאו פגיעות אבטחה של יום אפס המנוצלת באופן פעיל שפוגעת במכשירי Google Pixel ואחרים! תמשיך לקרוא!
עדכון 10/10/19 @ 3:05 AM ET: פגיעות אנדרואיד של יום אפס תוקנה עם תיקון האבטחה של 6 באוקטובר 2019. גלול לתחתית למידע נוסף. המאמר כפי שפורסם ב-6 באוקטובר 2019, שמור להלן.
אבטחה הייתה אחת מהן העדיפויות העליונות בעדכוני אנדרואיד האחרונים, כאשר שיפורים ושינויים בהצפנה, הרשאות וטיפול הקשור לפרטיות הם חלק מתכונות הכותרת. יוזמות נוספות כגון Project Mainline עבור אנדרואיד 10 שואפים להאיץ את עדכוני האבטחה על מנת להפוך מכשירי אנדרואיד לבטוחים יותר. גוגל גם הייתה חרוצה ודייקנית עם תיקוני אבטחה, ולמרות שהמאמצים הללו ראויים לשבח בפני עצמם, תמיד יישאר מרחב לניצולים ופגיעויות במערכת הפעלה כמו אנדרואיד. כפי שמתברר, תוקפים נמצאו לכאורה מנצלים באופן פעיל פגיעות של יום אפס באנדרואיד שמאפשר להם להשתלט על שליטה מלאה בטלפונים מסוימים מגוגל, Huawei, Xiaomi, סמסונג ואחרות.
של גוגל פרויקט אפס לצוות יש חשף מידע על ניצול אנדרואיד של אפס יום, שהשימוש הפעיל בו מיוחס ל- קבוצת NSO, אם כי נציגי NSO הכחישו את השימוש בו
ל ArsTechnica. ניצול זה הוא הסלמה של הרשאות ליבה המשתמשת ב- a שימוש-לאחר-חינם פגיעות, המאפשרת לתוקף לסכן באופן מלא מכשיר פגיע ולהרוס אותו. מכיוון שהניצול נגיש גם מארגז החול של Chrome, ניתן להעביר אותו גם דרך האינטרנט ברגע שהוא מותאם לניצול המכוון לפגיעות בקוד ב-Chrome המשמש לעיבוד תוֹכֶן.בשפה פשוטה יותר, תוקף יכול להתקין אפליקציה זדונית במכשירים המושפעים ולהשיג root ללא ידיעת המשתמש, וכפי שכולנו יודעים, הדרך נפתחת לגמרי לאחר מכן. ומכיוון שניתן לשרשר אותו עם ניצול אחר בדפדפן Chrome, התוקף יכול גם לספק היישום הזדוני דרך דפדפן האינטרנט, מסיר את הצורך בגישה פיזית ל- התקן. אם זה נשמע לך רציני, אז זה בגלל שזה בהחלט כן - הפגיעות דורגה כ"חומרה גבוהה" באנדרואיד. מה שגרוע מכך, ניצול זה דורש מעט עד לא התאמה אישית לכל מכשיר, ולחוקרים ב-Project Zero יש גם הוכחה לכך שהניצול נמצא בשימוש בטבע.
הפגיעות תוקנה ככל הנראה בדצמבר 2017 ב- גרסת Linux Kernel 4.14 LTS אך ללא CVE למעקב. לאחר מכן שולב התיקון בגרסאות 3.18, 4.4, ו 4.9 של ליבת אנדרואיד. עם זאת, התיקון לא עשה את דרכו לעדכוני אבטחה של אנדרואיד, מה שהותיר כמה מכשירים חשופים לפגם זה שאחריו עוקבים כעת כ-CVE-2019-2215.
הרשימה ה"לא ממצה" של מכשירים שנמצאו מושפעים היא כדלקמן:
- גוגל פיקסל
- גוגל פיקסל XL
- גוגל פיקסל 2
- גוגל פיקסל 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi Mi A1
- Oppo A3
- מוטו Z3
- טלפונים של LG באנדרואיד אוראו
- סמסונג גלקסי S7
- סמסונג גלקסי S8
- סמסונג גלקסי S9
עם זאת, כאמור, לא מדובר ברשימה ממצה, מה שאומר שגם מספר מכשירים אחרים צפויים לעשות זאת הושפעו מפגיעות זו למרות שיש להם עדכוני אבטחה לאנדרואיד חדשים כמו זה מספטמבר 2019. אומרים שה-Google Pixel 3 ו-Pixel 3 XL ו-Google Pixel 3a ו-Pixel 3a XL בטוחים מהפגיעות הזו. למכשירי Pixel המושפעים תהיה תיקון הפגיעות בעדכון האבטחה הקרוב של אנדרואיד אוקטובר 2019, שאמור לעלות לאוויר בעוד יום או יומיים. תיקון הפך זמין לשותפי אנדרואיד "על מנת להבטיח שהמערכת האקולוגית של אנדרואיד מוגנת מפני הבעיה", אך כשראינו עד כמה יצרני ציוד מקורי מסוימים הם רשלניים ונונשלנטיים לגבי עדכונים, לא היינו עוצרים את נשימתנו עם קבלת התיקון בזמן דֶרֶך.
צוות המחקר של Project Zero שיתף ניצול מקומי של הוכחת מושג כדי להדגים כיצד ניתן להשתמש בבאג זה כדי להשיג קריאה/כתיבה של ליבה שרירותית בעת הפעלה מקומית.
צוות המחקר של Project Zero הבטיח לספק הסבר מפורט יותר על הבאג ועל המתודולוגיה לזהותו בפוסט עתידי בבלוג. ArsTechnica סבורה כי יש סיכוי קלוש ביותר לניצול על ידי התקפות יקרות וממוקדות כמו זו; ושמשתמשים עדיין צריכים להתאפק עם התקנת אפליקציות לא חיוניות ולהשתמש בדפדפן שאינו כרום עד להתקנת התיקון. לדעתנו, נוסיף כי זה יהיה גם נבון לחפש את תיקון האבטחה של אוקטובר 2019 עבור המכשיר שלך ולהתקין אותו בהקדם האפשרי.
מָקוֹר: פרויקט אפס
סיפור דרך: ArsTechnica
עדכון: פגיעות האנדרואיד של Zero Day תוקנה עם עדכון האבטחה של אוקטובר 2019
CVE-2019-2215 המתייחס לפגיעות הסלמה הרשאות הליבה הנזכרת לעיל תוקן עם ה תיקון אבטחה של אוקטובר 2019, במיוחד עם רמת תיקון האבטחה 2019-10-06, כפי שהובטח. אם קיים עדכון אבטחה למכשיר שלך, אנו ממליצים בחום להתקין אותו בהקדם.
מָקוֹר: עלון אבטחה של אנדרואיד
באמצעות: טוויטר: @maddiestone