Onderzoekers van Project Zero hebben een actief uitgebuit zero-day beveiligingsprobleem gevonden dat Google Pixel-apparaten en andere apparaten in gevaar brengt! Lees verder!
Update 10-10-2019 om 03:05 ET: De zero-day Android-kwetsbaarheid is verholpen met de beveiligingspatch van 6 oktober 2019. Scroll naar beneden voor meer informatie. Het artikel zoals gepubliceerd op 6 oktober 2019 is bewaard gebleven zoals hieronder.
Beveiliging was een van de topprioriteiten in recente Android-updates, waarbij verbeteringen en wijzigingen in de encryptie, machtigingen en privacygerelateerde afhandeling enkele van de belangrijkste kenmerken zijn. Andere initiatieven zoals Project Mainline voor Android 10 zijn gericht op het versnellen van beveiligingsupdates om Android-apparaten veiliger te maken. Google is ook ijverig en punctueel geweest met beveiligingspatches, en hoewel deze inspanningen op zichzelf lovenswaardig zijn, zal er altijd ruimte blijven voor exploits en kwetsbaarheden in een besturingssysteem als Android. Het blijkt dat er aanvallers zijn aangetroffen die actief misbruik maken van een zero-day-kwetsbaarheid in Android waarmee ze de volledige controle over bepaalde telefoons kunnen overnemen van Google, Huawei, Xiaomi, Samsung en anderen.
Die van Google Project nul ploeg heeft onthulde informatie over een zero-day Android-exploit, waarvan het actieve gebruik wordt toegeschreven aan de NSO-groep, hoewel vertegenwoordigers van NSO het gebruik ervan hebben ontkend naar ArsTechnica. Deze exploit is een escalatie van kernelbevoegdheden die gebruikmaakt van een gebruik-na-gratis kwetsbaarheid, waardoor de aanvaller een kwetsbaar apparaat volledig kan compromitteren en het kan rooten. Omdat de exploit ook toegankelijk is vanuit de Chrome-sandbox, kan deze ook via internet worden geleverd gaat gepaard met een exploit die zich richt op een kwetsbaarheid in de code in Chrome die wordt gebruikt om te renderen inhoud.
In eenvoudiger taal: een aanvaller kan een kwaadaardige applicatie op getroffen apparaten installeren en root bereiken zonder medeweten van de gebruiker, en zoals we allemaal weten, gaat de weg daarna volledig open. En aangezien deze kan worden gekoppeld aan een andere exploit in de Chrome-browser, kan de aanvaller ook resultaten opleveren de kwaadaardige applicatie via de webbrowser, waardoor fysieke toegang tot het apparaat. Als dit u ernstig in de oren klinkt, dan is dat omdat het dat zeker is: de kwetsbaarheid is op Android beoordeeld als 'Hoge ernst'. Wat nog erger is, deze exploit vereist weinig tot geen aanpassingen per apparaat, en de onderzoekers van Project Zero hebben ook bewijs dat de exploit in het wild wordt gebruikt.
De kwetsbaarheid is blijkbaar in december 2017 gepatcht in de Linux Kernel 4.14 LTS-release maar zonder tracking-CVE. De oplossing werd vervolgens in versies opgenomen 3.18, 4.4, En 4.9 van de Android-kernel. De oplossing vond echter geen ingang in de Android-beveiligingsupdates, waardoor verschillende apparaten kwetsbaar bleven voor deze fout, die nu wordt gevolgd als CVE-2019-2215.
De "niet-uitputtende" lijst met apparaten waarvan is vastgesteld dat ze getroffen zijn, is als volgt:
- Google Pixel
- Google Pixel XL
- Google Pixel2
- Google Pixel 2 XL
- Huawei P20
- Xiaomi redmi 5A
- Xiaomi Redmi Opmerking 5
- Xiaomi Mi A1
- Oppo A3
- Moto Z3
- LG-telefoons op Android Oreo
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Zoals gezegd is dit echter geen uitputtende lijst, wat betekent dat dit waarschijnlijk ook bij verschillende andere apparaten het geval zal zijn zijn getroffen door dit beveiligingslek, ondanks dat Android-beveiligingsupdates zo nieuw zijn als die van september 2019. De Google Pixel 3 en Pixel 3 XL en Google Pixel 3a en Pixel 3a XL zouden veilig zijn voor dit beveiligingslek. Op getroffen Pixel-apparaten zal de kwetsbaarheid worden gepatcht in de komende Android-beveiligingsupdate van oktober 2019, die over een dag of twee live zou moeten gaan. Er is een patch beschikbaar gesteld aan Android-partners "om ervoor te zorgen dat het Android-ecosysteem tegen dit probleem wordt beschermd". Als we zien hoe onzorgvuldig en nonchalant bepaalde OEM's omgaan met updates, zouden we onze adem niet inhouden als we de oplossing tijdig zouden ontvangen manier.
Het onderzoeksteam van Project Zero heeft een lokale proof-of-concept-exploit gedeeld om aan te tonen hoe deze bug kan worden gebruikt om willekeurige kernel-lees-/schrijfbewerkingen te verkrijgen wanneer deze lokaal wordt uitgevoerd.
Het onderzoeksteam van Project Zero heeft beloofd in een toekomstige blogpost een meer gedetailleerde uitleg te geven over de bug en de methodologie om deze te identificeren. ArsTechnica is van mening dat de kans uiterst klein is dat hij wordt uitgebuit door aanvallen die zo duur en doelgericht zijn als deze; en dat gebruikers nog steeds moeten wachten met het installeren van niet-essentiële apps en een niet-Chrome-browser moeten gebruiken totdat de patch is geïnstalleerd. Naar onze mening willen we hieraan toevoegen dat het ook verstandig is om uit te kijken naar de beveiligingspatch van oktober 2019 voor uw apparaat en deze zo snel mogelijk te installeren.
Bron: Project nul
Verhaal via: ArsTechnica
Update: De Zero-day Android-kwetsbaarheid is verholpen met de beveiligingsupdate van oktober 2019
CVE-2019-2215 die betrekking heeft op de bovengenoemde kwetsbaarheid voor escalatie van kernelrechten is gepatcht met de Beveiligingspatch van oktober 2019, specifiek met beveiligingspatchniveau 2019-10-06, zoals beloofd. Als er een beveiligingsupdate beschikbaar is voor uw apparaat, raden we u ten zeerste aan deze zo snel mogelijk te installeren.
Bron: Android-beveiligingsbulletin
Via: Twitter: @maddiestone