[Aktualizacja: załatana] Aktywnie wykorzystywana luka dnia zerowego znaleziona w Google Pixel, Huawei, Xiaomi, Samsung i innych urządzeniach

Krótkie Wiadomości XdaNov 09, 2023

Naukowcy z Project Zero odkryli aktywnie wykorzystywaną lukę w zabezpieczeniach typu zero-day, która zagraża urządzeniom Google Pixel i innym! Czytaj!

Aktualizacja 10/10/19 o 3:05 ET: Luka typu zero-day w systemie Android została załatana łatką bezpieczeństwa z 6 października 2019 r. Przewiń w dół, aby uzyskać więcej informacji. Artykuł opublikowany 6 października 2019 r. zachował się w poniższej formie.

Bezpieczeństwo było jednym z najważniejsze priorytety w ostatnich aktualizacjach Androida, a wśród głównych funkcji znajdują się ulepszenia i zmiany w zakresie szyfrowania, uprawnień i obsługi związanej z prywatnością. Inne inicjatywy, np Project Mainline na Androida 10 mają na celu przyspieszenie aktualizacji zabezpieczeń, aby uczynić urządzenia z Androidem bezpieczniejszymi. Firma Google sumiennie i punktualnie wprowadzała poprawki zabezpieczeńi choć wysiłki te same w sobie są godne pochwały, w systemach operacyjnych takich jak Android zawsze pozostanie miejsce na exploity i luki w zabezpieczeniach. Jak się okazuje, hakerzy rzekomo aktywnie wykorzystują lukę typu zero-day w systemie Android co pozwala im przejąć pełną kontrolę nad niektórymi telefonami od Google, Huawei, Xiaomi, Samsunga i innych.

Google'a Projekt Zero zespół ma ujawnione informacje o exploitze zero-day na Androida, którego aktywne wykorzystanie przypisuje się Grupa NSO, choć przedstawiciele NSO zaprzeczyli, jakoby ich używali Do ArsTechnica. Exploit ten polega na eskalacji uprawnień jądra, wykorzystując m.in używać po-bezpłatnie lukę w zabezpieczeniach, umożliwiając atakującemu pełne złamanie podatnego urządzenia i zrootowanie go. Ponieważ exploit jest również dostępny z piaskownicy Chrome, po jego uruchomieniu może zostać również dostarczony przez Internet jest połączony z exploitem, którego celem jest luka w kodzie przeglądarki Chrome używana do renderowania treść.

Mówiąc prościej, osoba atakująca może zainstalować złośliwą aplikację na zagrożonych urządzeniach i uzyskać dostęp do roota bez wiedzy użytkownika, a jak wszyscy wiemy, droga zostaje wtedy całkowicie otwarta. A ponieważ można go powiązać z innym exploitem w przeglądarce Chrome, atakujący również może to zrobić złośliwą aplikację za pośrednictwem przeglądarki internetowej, eliminując potrzebę fizycznego dostępu do urządzenie. Jeśli wydaje Ci się to poważne, to dlatego, że z pewnością tak jest — luka w systemie Android została sklasyfikowana jako „wysoka ważność”. Co gorsza, exploit ten wymaga niewielkiego lub żadnego dostosowywania poszczególnych urządzeń, a badacze z Project Zero mają również dowód na to, że exploit ten jest wykorzystywany w środowisku naturalnym.

Luka została najwyraźniej załatana w grudniu 2017 roku w pliku Wersja jądra Linux 4.14 LTS ale bez śledzenia CVE. Poprawka została następnie włączona do wersji 3.18, 4.4, I 4.9 jądra Androida. Jednak poprawka nie znalazła się w aktualizacjach zabezpieczeń Androida, przez co kilka urządzeń było podatnych na tę lukę, która jest obecnie śledzona jako CVE-2019-2215.

„Niewyczerpująca” lista urządzeń, których dotyczy problem, jest następująca:

  • Google Pixel
  • Google Pixel XL
  • Google Pixel 2
  • Google Pixel 2 XL
  • Huaweia P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Uwaga 5
  • Xiaomi Mi A1
  • Oppo A3
  • MotoZ3
  • Telefony LG z Androidem Oreo
  • Samsunga Galaxy S7
  • Samsunga Galaxy S8
  • Samsunga Galaxy S9

Jak jednak wspomniano, nie jest to lista wyczerpująca, co oznacza, że ​​prawdopodobnie będzie to dotyczyło również kilku innych urządzeń zostały dotknięte tą luką, mimo że aktualizacje zabezpieczeń Androida są tak nowe, jak ta z września 2019. Mówi się, że Google Pixel 3 i Pixel 3 XL oraz Google Pixel 3a i Pixel 3a XL są bezpieczne przed tą luką. Luka w zabezpieczeniach urządzeń Pixel, których dotyczy problem, zostanie załatana w nadchodzącej aktualizacji zabezpieczeń Androida z października 2019 r., która powinna zostać udostępniona za dzień lub dwa. Partnerom Androida udostępniono łatkę „w celu zapewnienia ochrony ekosystemu Androida przed problemem”, ale widząc, jak nieostrożni i nonszalanccy są niektórzy producenci OEM w kwestii aktualizacji, nie wstrzymywalibyśmy się, gdy otrzymalibyśmy poprawkę na czas sposób.

Zespół badawczy Project Zero udostępnił lokalny exploit weryfikujący koncepcję, aby zademonstrować, w jaki sposób można wykorzystać ten błąd do uzyskania dowolnego odczytu/zapisu jądra podczas działania lokalnego.

Zespół badawczy Project Zero obiecał bardziej szczegółowe wyjaśnienie błędu i metodologii jego identyfikacji w przyszłym poście na blogu. ArsTechnica jest zdania, że ​​istnieje bardzo małe ryzyko, że zostaną wykorzystane w tak kosztownych i ukierunkowanych atakach jak ten; oraz że użytkownicy powinni w dalszym ciągu wstrzymywać się z instalowaniem nieistotnych aplikacji i korzystać z przeglądarki innej niż Chrome do czasu zainstalowania łatki. Naszym zdaniem dodamy, że rozsądnie byłoby również zwrócić uwagę na poprawkę bezpieczeństwa z października 2019 r. dla swojego urządzenia i zainstalować ją tak szybko, jak to możliwe.

Źródło: Projekt Zero

Historia przez: ArsTechnica

Aktualizacja: Luka Zero-day w systemie Android została załatana w aktualizacji zabezpieczeń z października 2019 r

CVE-2019-2215, który dotyczy wyżej wymienionej luki w jądrze umożliwiającej eskalację uprawnień zostało załatane z Łatka bezpieczeństwa z października 2019 r, w szczególności z poprawką bezpieczeństwa na poziomie 2019-10-06, zgodnie z obietnicą. Jeśli dla Twojego urządzenia dostępna jest aktualizacja zabezpieczeń, zdecydowanie zalecamy jej jak najszybsze zainstalowanie.

Źródło: Biuletyn dotyczący bezpieczeństwa Androida

Przez: Twitter: @maddiestone