[Oppdatering: Patched] Aktivt utnyttet nulldagers sårbarhet funnet i Google Pixel, Huawei, Xiaomi, Samsung og andre enheter

Forskere ved Project Zero har funnet en aktivt utnyttet nulldagers sikkerhetssårbarhet som kompromitterer Google Pixel-enheter og andre! Les videre!

Oppdatering 10/10/19 @ 03:05 ET: Null-dagers Android-sårbarheten har blitt rettet med sikkerhetsoppdateringen 6. oktober 2019. Bla til bunnen for mer informasjon. Artikkelen som ble publisert 6. oktober 2019, er bevart som nedenfor.

Sikkerhet har vært en av de toppprioriteter i de siste Android-oppdateringene, med forbedringer og endringer i kryptering, tillatelser og personvernrelatert håndtering er noen av hovedfunksjonene. Andre tiltak som f.eks Project Mainline for Android 10 sikte på å fremskynde sikkerhetsoppdateringer for å gjøre Android-enheter tryggere. Google har også vært flittig og punktlig med sikkerhetsoppdateringer, og selv om denne innsatsen er prisverdig i seg selv, vil det alltid være rom for utnyttelser og sårbarheter i et operativsystem som Android. Det viser seg at angripere angivelig har blitt funnet aktivt å utnytte en null-dagers sårbarhet i Android som lar dem ta over full kontroll over visse telefoner fra Google, Huawei, Xiaomi, Samsung og andre.

Googles Prosjekt Zero laget har avslørt informasjon om en null-dagers Android-utnyttelse, hvis aktive bruk tilskrives NSO-gruppen, selv om representanter fra NSO har benektet bruken av det samme til ArsTechnica. Denne utnyttelsen er en eskalering av kjerneprivilegier som bruker en bruk-etter-fri sårbarhet, slik at angriperen kan kompromittere en sårbar enhet fullstendig og rote den. Siden utnyttelsen også er tilgjengelig fra Chrome-sandkassen, kan den også leveres via nettet når den er ferdig er sammenkoblet med en utnyttelse som retter seg mot en sårbarhet i koden i Chrome som brukes til å gjengi innhold.

På enklere språk kan en angriper installere en ondsinnet applikasjon på berørte enheter og oppnå root uten brukerens viten, og som vi alle vet åpner veien seg helt etter det. Og siden det kan lenkes med en annen utnyttelse i Chrome-nettleseren, kan angriperen også levere den ondsinnede applikasjonen gjennom nettleseren, og fjerner behovet for fysisk tilgang til enhet. Hvis dette høres alvorlig ut for deg, så er det fordi det absolutt er det - sårbarheten har blitt vurdert som "Høy alvorlighetsgrad" på Android. Hva verre er, denne utnyttelsen krever lite eller ingen tilpasning per enhet, og forskerne ved Project Zero har også bevis på at utnyttelsen brukes i naturen.

Sårbarheten ble tilsynelatende korrigert i desember 2017 i Linux Kernel 4.14 LTS-utgivelse men uten sporings-CVE. Reparasjonen ble deretter innlemmet i versjoner 3.18, 4.4, og 4.9 av Android-kjernen. Reparasjonen kom imidlertid ikke inn i Android-sikkerhetsoppdateringer, noe som gjør flere enheter sårbare for denne feilen som nå spores som CVE-2019-2215.

Den "ikke-uttømmende" listen over enheter som har vist seg å være berørt, er som følger:

  • Google Pixel
  • Google Pixel XL
  • Google Pixel 2
  • Google Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi Mi A1
  • Oppo A3
  • Moto Z3
  • LG-telefoner på Android Oreo
  • Samsung Galaxy S7
  • Samsung Galaxy S8
  • Samsung Galaxy S9

Men som nevnt er dette ikke en uttømmende liste, noe som betyr at flere andre enheter også sannsynligvis vil gjøre det har blitt berørt av dette sikkerhetsproblemet til tross for at Android-sikkerhetsoppdateringer er like nye som den fra september 2019. Google Pixel 3 og Pixel 3 XL og Google Pixel 3a og Pixel 3a XL sies å være sikret mot dette sikkerhetsproblemet. Berørte Pixel-enheter vil ha sikkerhetsproblemet rettet i den kommende Android-sikkerhetsoppdateringen fra oktober 2019, som skal gå live om en dag eller to. En oppdatering er gjort tilgjengelig for Android-partnere "for å sikre at Android-økosystemet er beskyttet mot problemet", men Når vi ser hvor uforsiktig og nonchalant enkelte OEM-er er når det gjelder oppdateringer, ville vi ikke holde pusten når vi mottar løsningen i tide måte.

Project Zero-forskningsteamet har delt en lokal proof-of-concept-utnyttelse for å demonstrere hvordan denne feilen kan brukes til å få vilkårlig kjernelesing/skriving når den kjøres lokalt.

Project Zero-forskningsteamet har lovet å gi en mer detaljert forklaring av feilen og metodikken for å identifisere den i et fremtidig blogginnlegg. ArsTechnica er av den oppfatning at det er ekstremt små sjanser for å bli utnyttet av så dyre og målrettede angrep som dette; og at brukere fortsatt bør vente med å installere ikke-essensielle apper og bruke en ikke-Chrome-nettleser til oppdateringen er installert. Etter vår mening vil vi legge til at det også vil være klokt å se etter sikkerhetsoppdateringen fra oktober 2019 for enheten din og installere den så snart som mulig.

Kilde: Prosjekt Zero

Historie via: ArsTechnica


Oppdatering: Zero-day Android-sårbarheten har blitt korrigert med sikkerhetsoppdateringen fra oktober 2019

CVE-2019-2215 som er relatert til det ovennevnte sikkerhetsproblemet med eskalering av kjerneprivilegier har blitt lappet med Oktober 2019 sikkerhetsoppdatering, spesielt med sikkerhetsoppdateringsnivå 2019-10-06, som lovet. Hvis en sikkerhetsoppdatering er tilgjengelig for enheten din, anbefaler vi på det sterkeste å installere den så tidlig som mulig.

Kilde: Android sikkerhetsbulletin

Via: Twitter: @maddiestone