Project Zero の研究者は、Google Pixel デバイスなどを侵害する、積極的に悪用されているゼロデイ セキュリティの脆弱性を発見しました。 読む!
アップデート 10/10/19 @ 3:05 AM ET: Android のゼロデイ脆弱性は、2019 年 10 月 6 日のセキュリティ パッチで修正されました。 詳細については、一番下までスクロールしてください。 2019年10月6日に公開された記事を以下に保存します。
セキュリティもその 1 つです 最近の Android アップデートの最優先事項、暗号化、権限、プライバシー関連の処理の改善と変更が目玉機能の一部です。 その他の取り組みとしては、 Android 10 向けプロジェクト メインライン Android デバイスをより安全にするためにセキュリティ アップデートを高速化することを目的としています。 Google はセキュリティ パッチの提供にも熱心に取り組んでいます。これらの取り組みはそれ自体賞賛に値しますが、Android のような OS には悪用や脆弱性の余地が常に残されています。 結局のところ、攻撃者が Android のゼロデイ脆弱性を積極的に悪用しているのが発見されたとされています。 これにより、Google、Huawei、Xiaomi、Samsung などから特定の携帯電話の完全な制御を引き継ぐことができます。
Googleの プロジェクトゼロ チームが持っている 明らかになった情報 Android のゼロデイエクスプロイトについて。その積極的な使用は、 NSOグループただし、NSO の代表者は同じものの使用を否定しています。 に アルステクニカ. このエクスプロイトは、 無料後の使用 これにより、攻撃者が脆弱なデバイスを完全に侵害し、ルート化することが可能になります。 このエクスプロイトは Chrome サンドボックスからもアクセスできるため、一度アクセスすると Web 経由で配信することもできます。 レンダリングに使用される Chrome のコードの脆弱性を標的とするエクスプロイトと組み合わされています。 コンテンツ。
簡単に言うと、攻撃者は影響を受けるデバイスに悪意のあるアプリケーションをインストールし、ユーザーが知らないうちに root 権限を取得することができます。そして、誰もが知っているように、その後は完全に道が開かれます。 また、Chrome ブラウザの別のエクスプロイトと連鎖させることができるため、攻撃者は攻撃を実行することもできます。 悪意のあるアプリケーションを Web ブラウザ経由で攻撃し、Web ブラウザに物理的にアクセスする必要がなくなります。 デバイス。 これが深刻だと思われる場合、それは確かにその通りであるためです。この脆弱性は Android で「重大度高」と評価されています。 さらに悪いことに、このエクスプロイトはデバイスごとのカスタマイズをほとんど必要とせず、Project Zero の研究者はこのエクスプロイトが実際に使用されているという証拠も持っています。
この脆弱性は 2017 年 12 月にパッチされたようです。 Linux カーネル 4.14 LTS リリース ただし、追跡 CVE はありません。 その後、修正はバージョンに組み込まれました 3.18, 4.4、 そして 4.9 Android カーネルの。 ただし、この修正は Android セキュリティ アップデートには反映されず、いくつかのデバイスがこの欠陥に対して脆弱なままとなり、現在 CVE-2019-2215 として追跡されています。
影響を受けることが判明したデバイスの「非網羅的」リストは次のとおりです。
- Googleピクセル
- Google ピクセル XL
- グーグルピクセル2
- Google ピクセル 2 XL
- ファーウェイP20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- シャオミ Mi A1
- OPPO A3
- Moto Z3
- Android Oreo 上の LG 携帯電話
- サムスンギャラクシーS7
- サムスンギャラクシーS8
- サムスンギャラクシーS9
ただし、前述したように、これは完全なリストではないため、他のいくつかのデバイスも同様である可能性があります。 Android セキュリティ アップデートが 9 月のものと同じくらい新しいにもかかわらず、この脆弱性の影響を受けています 2019. Google Pixel 3 と Pixel 3 XL、Google Pixel 3a と Pixel 3a XL はこの脆弱性から安全であると言われています。 影響を受ける Pixel デバイスには、今後 2019 年 10 月にリリースされる Android セキュリティ アップデートでこの脆弱性が修正され、1 ~ 2 日以内に公開される予定です。 「Android エコシステムがこの問題から確実に保護されるように」パッチが Android パートナーに提供されましたが、 特定の OEM がアップデートに関してどれほど不注意で無頓着であるかを見て、私たちはタイムリーに修正を受け取ることに息を呑むことはありません やり方。
Project Zero 研究チームは、ローカルでの概念実証エクスプロイトを共有し、ローカルでの実行時にこのバグを利用して任意のカーネル読み取り/書き込みを取得する方法を実証しました。
Project Zero 研究チームは、今後のブログ投稿で、バグの詳細な説明とバグを特定する方法を提供することを約束しました。 アルステクニカ 今回のような高額かつ標的を絞った攻撃によって悪用される可能性は極めて低いという意見です。 また、パッチがインストールされるまでは、ユーザーは必須以外のアプリのインストールを控え、Chrome 以外のブラウザを使用する必要があるとしています。 私たちの意見では、お使いのデバイスの 2019 年 10 月のセキュリティ パッチに注意し、できるだけ早くインストールすることが賢明であると付け加えます。
ソース: プロジェクトゼロ
ストーリー経由: アルステクニカ
更新: Android のゼロデイ脆弱性は、2019 年 10 月のセキュリティ アップデートでパッチされました。
上記のカーネル権限昇格の脆弱性に関連する CVE-2019-2215 パッチが適用されました とともに 2019 年 10 月のセキュリティ パッチ、具体的には、約束どおりセキュリティ パッチ レベル 2019-10-06 を適用します。 デバイスにセキュリティ アップデートが利用可能な場合は、できるだけ早くインストールすることを強くお勧めします。
ソース: Android セキュリティ速報
経由: Twitter:@maddiestone