[განახლება: შესწორებული] აქტიურად ექსპლუატირებული ნულოვანი დღის დაუცველობა ნაპოვნი Google Pixel-ში, Huawei-ში, Xiaomi-ში, Samsung-სა და სხვა მოწყობილობებში

Xda სიახლეების ბრიფინგიNov 09, 2023

Project Zero-ს მკვლევარებმა აღმოაჩინეს ნულოვანი დღის უსაფრთხოების აქტიური დაუცველობა, რომელიც კომპრომეტირებს Google Pixel-ის მოწყობილობებს და სხვებს! წაიკითხეთ!

განახლება 10/10/19 @ 3:05 AM ET: Android-ის ნულოვანი დღის დაუცველობა შესწორებულია 2019 წლის 6 ოქტომბრის უსაფრთხოების პაჩით. დამატებითი ინფორმაციისთვის გადაახვიეთ ბოლოში. სტატია, როგორც გამოქვეყნებულია 2019 წლის 6 ოქტომბერს, დაცულია ქვემოთ.

დაცვა იყო ერთ-ერთი მთავარი პრიორიტეტები Android-ის ბოლო განახლებებში, დაშიფვრის გაუმჯობესებები და ცვლილებები, ნებართვები და კონფიდენციალურობასთან დაკავშირებული დამუშავება არის სათაურის ზოგიერთი ფუნქცია. სხვა ინიციატივები, როგორიცაა Project Mainline Android 10-ისთვის მიზნად ისახავს უსაფრთხოების განახლებების დაჩქარებას, რათა Android მოწყობილობები უფრო უსაფრთხო გახდეს. Google ასევე იყო გულმოდგინე და პუნქტუალური უსაფრთხოების პატჩებთან დაკავშირებით, და მიუხედავად იმისა, რომ ეს მცდელობები თავისთავად დასაფასებელია, ყოველთვის დარჩება ექსპლოიტებისა და დაუცველობის შესაძლებლობა ისეთ ოპერაციულ სისტემაში, როგორიცაა Android. როგორც ირკვევა, თავდამსხმელები სავარაუდოდ აქტიურად იყენებენ Android-ში ნულოვანი დღის დაუცველობას. რაც მათ საშუალებას აძლევს აიღონ სრული კონტროლი Google-ის, Huawei-ს, Xiaomi-ს, Samsung-ის და სხვა ტელეფონებზე.

Google-ის პროექტი ნულოვანი გუნდს აქვს გამოაქვეყნა ინფორმაცია Android-ის ნულოვანი დღის ექსპლოიტის შესახებ, რომლის აქტიურ გამოყენებას მიეკუთვნება NSO ჯგუფითუმცა NSO-ს წარმომადგენლები უარყვეს იგივეს გამოყენებას რომ ArsTechnica. ეს ექსპლოიტი არის ბირთვის პრივილეგიის ესკალაცია, რომელიც იყენებს ა გამოყენება-უფასო დაუცველობა, რაც თავდამსხმელს საშუალებას აძლევს სრულად დაარღვიოს დაუცველი მოწყობილობა და დაამყაროს იგი. ვინაიდან ექსპლოიტი ასევე ხელმისაწვდომია Chrome sandbox-დან, მისი მიწოდება შესაძლებელია ინტერნეტის საშუალებითაც დაწყვილებულია ექსპლოიტთან, რომელიც მიზნად ისახავს დაუცველობას Chrome-ში არსებულ კოდში, რომელიც გამოიყენება რენდერისთვის შინაარსი.

უფრო მარტივ ენაზე რომ ვთქვათ, თავდამსხმელს შეუძლია დააინსტალიროს მავნე აპლიკაცია დაზარალებულ მოწყობილობებზე და მიაღწიოს root-ს მომხმარებლის ცოდნის გარეშე და როგორც ყველამ ვიცით, ამის შემდეგ გზა მთლიანად იხსნება. და რადგან ის შეიძლება იყოს მიჯაჭვული სხვა ექსპლოიტით Chrome ბრაუზერში, თავდამსხმელს ასევე შეუძლია მიწოდება მავნე აპლიკაცია ვებ ბრაუზერის საშუალებით, რაც ხსნის მასზე ფიზიკური წვდომის საჭიროებას მოწყობილობა. თუ ეს სერიოზულად გეჩვენებათ, მაშინ ეს იმიტომ ხდება, რომ ნამდვილად ასეა -- დაუცველობა შეფასდა როგორც "მაღალი სიმძიმის" Android-ზე. რაც უფრო უარესია, ეს ექსპლოიტი არ საჭიროებს თითო მოწყობილობის პერსონალიზაციას და Project Zero-ს მკვლევარებს ასევე აქვთ მტკიცებულება ექსპლოიტის გამოყენების შესახებ ველურში.

დაუცველობა აშკარად დაფიქსირდა 2017 წლის დეკემბერში Linux Kernel 4.14 LTS გამოშვება მაგრამ CVE თვალთვალის გარეშე. შესწორება შემდეგ ჩართული იყო ვერსიებში 3.18, 4.4, და 4.9 ანდროიდის ბირთვის. თუმცა, შესწორებამ არ შეაღწია Android-ის უსაფრთხოების განახლებებში, რამაც რამდენიმე მოწყობილობა დაუცველი დატოვა ამ ხარვეზის მიმართ, რომელსაც ახლა თვალყურს ადევნებენ, როგორც CVE-2019-2215.

მოწყობილობების „არასრული“ სია, რომლებიც დაზარალდა, არის შემდეგი:

  • Google Pixel
  • Google Pixel XL
  • Google Pixel 2
  • Google Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi Mi A1
  • Oppo A3
  • მოტო Z3
  • LG ტელეფონები Android Oreo-ზე
  • Samsung Galaxy S7
  • Samsung Galaxy S8
  • Samsung Galaxy S9

თუმცა, როგორც აღინიშნა, ეს არ არის ამომწურავი სია, რაც იმას ნიშნავს, რომ რამდენიმე სხვა მოწყობილობაც სავარაუდოდ დაზარალდნენ ამ დაუცველობით, მიუხედავად იმისა, რომ Android-ის უსაფრთხოების განახლებები ისეთივე ახალია, როგორიც სექტემბრიდან იყო 2019. ნათქვამია, რომ Google Pixel 3 და Pixel 3 XL და Google Pixel 3a და Pixel 3a XL დაცულები არიან ამ დაუცველობისგან. დაზარალებულ Pixel მოწყობილობებს ექნებათ დაუცველობა შესწორებული 2019 წლის ოქტომბრის მომავალ Android-ის უსაფრთხოების განახლებაში, რომელიც უნდა გამოვიდეს ერთ-ორ დღეში. პატჩი ხელმისაწვდომი გახდა Android-ის პარტნიორებისთვის "იმისთვის, რომ Android-ის ეკოსისტემა დაცული იყოს პრობლემისგან", მაგრამ იმის დანახვისას, თუ რამდენად უყურადღებო და დაუფიქრებელია ზოგიერთი OEM განახლებების მიმართ, ჩვენ არ შევიკავებთ სუნთქვას, თუ დროულად მივიღებთ შესწორებას მანერა.

Project Zero-ს კვლევითმა ჯგუფმა გააზიარა ცნების დამადასტურებელი ლოკალური ექსპლოიტი, რათა აჩვენოს, თუ როგორ შეიძლება ამ შეცდომის გამოყენება ლოკალურად გაშვებისას ბირთვის თვითნებური წაკითხვის/ჩაწერის მისაღებად.

Project Zero-ს კვლევითი ჯგუფი დაჰპირდა, რომ მომავალში ბლოგპოსტში შეცდომის უფრო დეტალური ახსნა და მისი იდენტიფიცირების მეთოდოლოგია იქნება. ArsTechnica თვლის, რომ არსებობს უკიდურესად მცირე შანსები, რომ გამოიყენონ ისეთი ძვირი და მიზანმიმართული შეტევებით, როგორიც ეს არის; და რომ მომხმარებლებმა მაინც უნდა შეაჩერონ არასაჭირო აპების ინსტალაცია და გამოიყენონ არა-Chrome ბრაუზერი პატჩის დაყენებამდე. ჩვენი აზრით, ჩვენ დავამატებთ, რომ ასევე გონივრული იქნება, ყურადღება მიაქციოთ 2019 წლის ოქტომბრის უსაფრთხოების პატჩს თქვენი მოწყობილობისთვის და დააინსტალიროთ ის რაც შეიძლება მალე.

წყარო: პროექტი ნულოვანი

ამბავი მეშვეობით: ArsTechnica

განახლება: Zero-day Android-ის დაუცველობა შესწორებულია 2019 წლის ოქტომბრის უსაფრთხოების განახლებით

CVE-2019-2215, რომელიც ეხება ზემოხსენებულ ბირთვის პრივილეგიის ესკალაციის დაუცველობას დაყენებულია ერთად 2019 წლის ოქტომბრის უსაფრთხოების პატჩი, კონკრეტულად უსაფრთხოების პაჩის დონით 2019-10-06, როგორც დაპირდა. თუ უსაფრთხოების განახლება ხელმისაწვდომია თქვენი მოწყობილობისთვის, ჩვენ გირჩევთ დააინსტალიროთ იგი რაც შეიძლება მალე.

წყარო: Android უსაფრთხოების ბიულეტენი

მეშვეობით: Twitter: @maddiestone