Project Zero의 연구원들은 Google Pixel 장치 및 기타 장치를 손상시키는 적극적으로 악용되는 제로 데이 보안 취약점을 발견했습니다! 읽어!
19/10/10 @ 오전 3시 5분(ET) 업데이트: 제로데이 안드로이드 취약점은 2019년 10월 6일 보안 패치로 패치되었습니다. 자세한 내용을 보려면 아래로 스크롤하세요. 2019년 10월 6일에 게재된 기사는 아래와 같이 보존됩니다.
보안은 그 중 하나였습니다. 최근 Android 업데이트의 최우선 순위, 암호화, 권한 및 개인 정보 보호 관련 처리에 대한 개선 및 변경 사항이 주요 기능 중 일부입니다. 다음과 같은 기타 이니셔티브 Android 10용 프로젝트 메인라인 Android 기기를 더욱 안전하게 만들기 위해 보안 업데이트 속도를 높이는 것을 목표로 합니다. Google은 또한 보안 패치를 부지런히 적용해 왔습니다.이러한 노력은 그 자체로 칭찬받을 만하지만 Android와 같은 OS에는 항상 악용 및 취약점의 여지가 남아 있습니다. 공격자들이 안드로이드의 제로데이 취약점을 적극적으로 악용한 것으로 밝혀졌습니다. 이를 통해 Google, Huawei, Xiaomi, Samsung 등의 특정 휴대폰을 완전히 제어할 수 있습니다.
구글의 프로젝트 제로 팀은 공개된 정보 제로데이 안드로이드 익스플로잇에 대해, 그 활발한 사용은 NSO 그룹그러나 NSO 대표는 동일한 사용을 거부했습니다. 에게 아르스테크니카. 이 익스플로잇은 다음을 사용하는 커널 권한 상승입니다. 무료 후 사용 이를 통해 공격자는 취약한 장치를 완전히 손상시키고 루팅할 수 있습니다. 이 익스플로잇은 Chrome 샌드박스에서도 액세스할 수 있으므로 일단 웹을 통해 전달될 수도 있습니다. 렌더링에 사용되는 Chrome 코드의 취약점을 표적으로 삼는 익스플로잇과 결합됩니다. 콘텐츠.
더 간단하게 말하면, 공격자는 영향을 받는 장치에 악성 애플리케이션을 설치하고 사용자 모르게 루트에 도달할 수 있으며, 우리 모두 알고 있듯이 그 이후에는 길이 완전히 열립니다. 그리고 Chrome 브라우저의 다른 익스플로잇과 연결될 수 있으므로 공격자는 다음과 같은 공격도 할 수 있습니다. 웹 브라우저를 통해 악성 애플리케이션을 차단하므로 물리적으로 접근할 필요가 없습니다. 장치. 이것이 심각하게 들린다면 그것은 확실히 그렇습니다. Android에서 취약점은 "높음 심각도"로 평가되었습니다. 더 나쁜 것은 이 익스플로잇은 장치별 맞춤화가 거의 또는 전혀 필요하지 않으며 Project Zero의 연구원들도 이 익스플로잇이 실제로 사용되고 있다는 증거를 가지고 있다는 것입니다.
이 취약점은 2017년 12월에 패치된 것으로 보입니다. Linux 커널 4.14 LTS 릴리스 하지만 추적 CVE는 없습니다. 그런 다음 수정 사항이 버전에 통합되었습니다. 3.18, 4.4, 그리고 4.9 안드로이드 커널의. 그러나 이 수정 사항은 Android 보안 업데이트에 적용되지 않아 현재 CVE-2019-2215로 추적되는 이 결함에 여러 장치가 취약해졌습니다.
영향을 받는 것으로 확인된 장치의 "완전하지 않은" 목록은 다음과 같습니다.
- 구글 픽셀
- 구글 픽셀 XL
- 구글 픽셀 2
- 구글 픽셀 2 XL
- 화웨이 P20
- 샤오미 레드미 5A
- 샤오미 레드미 노트 5
- 샤오미 미 A1
- 오포 A3
- 모토 Z3
- Android Oreo를 탑재한 LG 휴대폰
- 삼성 갤럭시 S7
- 삼성 갤럭시 S8
- 삼성 갤럭시 S9
그러나 언급한 바와 같이 이는 완전한 목록이 아니므로 다른 여러 장치도 9월의 최신 Android 보안 업데이트에도 불구하고 이 취약점의 영향을 받았습니다. 2019. Google Pixel 3 및 Pixel 3 XL과 Google Pixel 3a 및 Pixel 3a XL은 이 취약점으로부터 안전하다고 합니다. 영향을 받는 Pixel 장치에는 다가오는 2019년 10월 Android 보안 업데이트에서 취약점 패치가 적용되며, 하루나 이틀 안에 출시될 예정입니다. "Android 생태계가 문제로부터 보호되도록" Android 파트너에게 패치가 제공되었지만 특정 OEM이 업데이트에 대해 얼마나 부주의하고 무관심한지 확인하면서 적시에 수정 사항을 받는 데 숨을 쉴 수 없습니다. 방법.
Project Zero 연구팀은 로컬에서 실행할 때 이 버그를 사용하여 임의의 커널 읽기/쓰기를 얻는 방법을 보여주기 위해 로컬 개념 증명 익스플로잇을 공유했습니다.
Project Zero 연구팀은 향후 블로그 게시물에서 버그에 대한 보다 자세한 설명과 이를 식별하는 방법론을 제공할 것을 약속했습니다. 아르스테크니카 이번처럼 비용이 많이 들고 표적화된 공격에 의해 악용될 가능성은 극히 희박하다는 의견입니다. 사용자는 패치가 설치될 때까지 필수적이지 않은 앱 설치를 미루고 Chrome이 아닌 브라우저를 사용해야 합니다. 우리의 의견으로는 귀하의 장치에 대한 2019년 10월 보안 패치를 찾아 가능한 한 빨리 설치하는 것이 현명할 것이라고 덧붙였습니다.
원천: 프로젝트 제로
스토리를 통해: 아르스테크니카
업데이트: 제로데이 Android 취약점은 2019년 10월 보안 업데이트로 패치되었습니다.
위에서 언급한 커널 권한 상승 취약점과 관련된 CVE-2019-2215 패치되었습니다 와 더불어 2019년 10월 보안 패치, 특히 약속대로 보안 패치 수준 2019-10-06을 사용합니다. 귀하의 장치에 사용 가능한 보안 업데이트가 있는 경우 최대한 빨리 설치하는 것이 좋습니다.
원천: Android 보안 게시판
을 통해: 트위터: @maddiestone