Pesquisadores do Project Zero encontraram uma vulnerabilidade de segurança de dia zero explorada ativamente que compromete dispositivos Google Pixel e outros! Leia!
Atualização 10/10/19 às 3h05 ET: A vulnerabilidade de dia zero do Android foi corrigida com o patch de segurança de 6 de outubro de 2019. Role até o final para obter mais informações. O artigo publicado em 6 de outubro de 2019 é preservado conforme abaixo.
A segurança tem sido um dos principais prioridades nas atualizações recentes do Android, com melhorias e alterações na criptografia, permissões e tratamento relacionado à privacidade sendo alguns dos recursos principais. Outras iniciativas como Linha principal do projeto para Android 10 visam acelerar as atualizações de segurança para tornar os dispositivos Android mais seguros. O Google também tem sido diligente e pontual com patches de segurança, e embora esses esforços sejam louváveis por si só, sempre haverá espaço para explorações e vulnerabilidades em um sistema operacional como o Android. Acontece que os invasores foram supostamente encontrados explorando ativamente uma vulnerabilidade de dia zero no Android isso lhes permite assumir o controle total de determinados telefones do Google, Huawei, Xiaomi, Samsung e outros.
do Google Projeto Zero equipe tem informação revelada sobre uma exploração de dia zero do Android, cujo uso ativo está sendo atribuído ao Grupo ONS, embora representantes da NSO tenham negado o uso do mesmo para ArsTechnica. Esta exploração é uma escalada de privilégios do kernel que usa um use-após-livre vulnerabilidade, permitindo que o invasor comprometa totalmente um dispositivo vulnerável e faça root nele. Como a exploração também pode ser acessada na sandbox do Chrome, ela também pode ser entregue pela web, uma vez que está emparelhado com uma exploração que visa uma vulnerabilidade no código do Chrome que é usado para renderizar contente.
Em linguagem mais simples, um invasor pode instalar um aplicativo malicioso nos dispositivos afetados e obter root sem o conhecimento do usuário e, como todos sabemos, o caminho se abre completamente depois disso. E como pode ser encadeado com outra exploração no navegador Chrome, o invasor também pode entregar o aplicativo malicioso por meio do navegador da web, eliminando a necessidade de acesso físico ao dispositivo. Se isso parece sério para você, é porque certamente é – a vulnerabilidade foi classificada como “Alta Gravidade” no Android. O que é pior, essa exploração requer pouca ou nenhuma personalização por dispositivo, e os pesquisadores do Project Zero também têm provas de que a exploração está sendo usada em liberdade.
A vulnerabilidade foi aparentemente corrigida em dezembro de 2017 no Versão do Kernel Linux 4.14 LTS mas sem um CVE de rastreamento. A correção foi então incorporada nas versões 3.18, 4.4, e 4.9 do kernel do Android. No entanto, a correção não chegou às atualizações de segurança do Android, deixando vários dispositivos vulneráveis a esta falha que agora está sendo rastreada como CVE-2019-2215.
A lista "não exaustiva" de dispositivos afetados é a seguinte:
- Google Pixel
- Google PixelXL
- Google Pixel 2
- Google Pixel 2XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Nota 5
- Xiaomi Mi A1
- Oppo A3
- Moto Z3
- Telefones LG com Android Oreo
- Samsung Galaxy S7
- Galáxia S8
- Samsung Galaxy S9
No entanto, como mencionado, esta não é uma lista exaustiva, o que significa que vários outros dispositivos também poderão foram afetados por esta vulnerabilidade apesar de terem atualizações de segurança do Android tão novas quanto a de setembro 2019. Diz-se que o Google Pixel 3 e Pixel 3 XL e o Google Pixel 3a e Pixel 3a XL estão protegidos contra esta vulnerabilidade. Os dispositivos Pixel afetados terão a vulnerabilidade corrigida na próxima atualização de segurança do Android de outubro de 2019, que deve entrar no ar em um ou dois dias. Um patch foi disponibilizado aos parceiros Android “para garantir que o ecossistema Android esteja protegido contra o problema”, mas vendo como certos OEMs são descuidados e indiferentes em relação às atualizações, não prenderíamos a respiração ao receber a correção em tempo hábil maneiras.
A equipe de pesquisa do Project Zero compartilhou uma exploração de prova de conceito local para demonstrar como esse bug pode ser usado para obter leitura/gravação arbitrária do kernel ao executar localmente.
A equipe de pesquisa do Project Zero prometeu fornecer uma explicação mais detalhada do bug e a metodologia para identificá-lo em uma postagem futura no blog. ArsTechnica é de opinião que as probabilidades de ser explorado por ataques tão dispendiosos e direcionados como este são extremamente reduzidas; e que os usuários ainda devem adiar a instalação de aplicativos não essenciais e usar um navegador que não seja o Chrome até que o patch seja instalado. Em nossa opinião, acrescentaríamos que também seria prudente ficar atento ao patch de segurança de outubro de 2019 para o seu dispositivo e instalá-lo o mais rápido possível.
Fonte: Projeto Zero
História via: ArsTechnica
Atualização: a vulnerabilidade zero-day do Android foi corrigida com a atualização de segurança de outubro de 2019
CVE-2019-2215 que está relacionado à vulnerabilidade de escalonamento de privilégios do kernel mencionada acima foi corrigido com o Patch de segurança de outubro de 2019, especificamente com o nível de patch de segurança 2019-10-06, conforme prometido. Se uma atualização de segurança estiver disponível para o seu dispositivo, é altamente recomendável instalá-la o mais rápido possível.
Fonte: Boletim de segurança do Android
Através da: Twitter: @maddiestone