Cercetătorii de la Project Zero au descoperit o vulnerabilitate de securitate zero-day exploatată în mod activ care compromite dispozitivele Google Pixel și altele! Citește mai departe!
Actualizare 10/10/19 la 3:05 ET: Vulnerabilitatea Android zero-day a fost corectată cu corecția de securitate din 6 octombrie 2019. Derulați în jos pentru mai multe informații. Articolul publicat pe 6 octombrie 2019 este păstrat ca mai jos.
Securitatea a fost una dintre cele priorități de top în actualizările Android recente, cu îmbunătățiri și modificări ale criptării, permisiunilor și gestionării legate de confidențialitate fiind unele dintre caracteristicile principale. Alte inițiative precum Project Mainline pentru Android 10 urmărește accelerarea actualizărilor de securitate pentru a face dispozitivele Android mai sigure. Google a fost, de asemenea, sârguincios și punctual cu corecțiile de securitateși, deși aceste eforturi sunt lăudabile în sine, va rămâne întotdeauna spațiu pentru exploatări și vulnerabilități într-un sistem de operare precum Android. După cum se dovedește, atacatorii au fost găsiți exploatând în mod activ o vulnerabilitate zero-day în Android care le permite să preia controlul deplin asupra anumitor telefoane de la Google, Huawei, Xiaomi, Samsung și altele.
de la Google Proiectul Zero echipa are informații dezvăluite despre o exploatare Android de zi zero, a cărei utilizare activă este atribuită grupul NSO, deși reprezentanții NSO au negat folosirea acestora la ArsTechnica. Acest exploit este o escaladare a privilegiilor nucleului care utilizează a utilizare-după-gratuit vulnerabilitate, permițând atacatorului să compromită complet un dispozitiv vulnerabil și să îl rooteze. Deoarece exploit-ul este accesibil și din sandbox-ul Chrome, acesta poate fi, de asemenea, livrat prin web odată ce acesta este este asociat cu un exploit care vizează o vulnerabilitate din codul din Chrome, care este folosit pentru randare conţinut.
Într-un limbaj mai simplu, un atacator poate instala o aplicație rău intenționată pe dispozitivele afectate și poate obține root fără știrea utilizatorului și, după cum știm cu toții, drumul se deschide complet după aceea. Și din moment ce poate fi înlănțuit cu un alt exploit în browserul Chrome, atacatorul poate oferi și el aplicația rău intenționată prin browser-ul web, eliminând necesitatea accesului fizic la dispozitiv. Dacă acest lucru vi se pare grav, atunci asta se datorează faptului că este cu siguranță -- vulnerabilitatea a fost evaluată ca „Severitate ridicată” pe Android. Mai rău, această exploatare necesită puțină sau deloc personalizare pe dispozitiv, iar cercetătorii de la Project Zero au, de asemenea, dovezi că exploatarea este folosită în sălbăticie.
Vulnerabilitatea a fost aparent remediată în decembrie 2017 în Lansarea Linux Kernel 4.14 LTS dar fără un CVE de urmărire. Remedierea a fost apoi încorporată în versiuni 3.18, 4.4, și 4.9 a nucleului Android. Cu toate acestea, remedierea nu a ajuns în actualizările de securitate Android, lăsând mai multe dispozitive vulnerabile la acest defect care este acum urmărit ca CVE-2019-2215.
Lista „neexhaustivă” a dispozitivelor care s-a dovedit a fi afectate este următoarea:
- Google Pixel
- Google Pixel XL
- Google Pixel 2
- Google Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi Mi A1
- Oppo A3
- Moto Z3
- Telefoane LG pe Android Oreo
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Cu toate acestea, după cum am menționat, aceasta nu este o listă exhaustivă, ceea ce înseamnă că, de asemenea, este posibil să o facă și alte câteva dispozitive au fost afectați de această vulnerabilitate, în ciuda faptului că au actualizări de securitate Android la fel de noi precum cea din septembrie 2019. Se spune că Google Pixel 3 și Pixel 3 XL și Google Pixel 3a și Pixel 3a XL sunt ferite de această vulnerabilitate. Dispozitivele Pixel afectate vor avea vulnerabilitatea corectată în următoarea actualizare de securitate Android din octombrie 2019, care ar trebui să fie disponibilă într-o zi sau două. Un patch a fost pus la dispoziția partenerilor Android „pentru a se asigura că ecosistemul Android este protejat împotriva problemei”, dar văzând cât de neglijenți și de nepăsător sunt anumiți OEM cu privire la actualizări, nu ne-am ține respirația când primim remedierea în timp util manieră.
Echipa de cercetare Project Zero a împărtășit un exploit de dovadă de concept local pentru a demonstra modul în care această eroare poate fi folosită pentru a obține citirea/scrierea arbitrară a nucleului atunci când rulează local.
Echipa de cercetare Project Zero a promis că va oferi o explicație mai detaliată a erorii și a metodologiei de identificare a acestuia într-o viitoare postare pe blog. ArsTechnica este de părere că există șanse extrem de mici de a fi exploatat de atacuri la fel de scumpe și direcționate ca acesta; și că utilizatorii ar trebui să nu mai instaleze aplicații neesențiale și să folosească un browser non-Chrome până când patch-ul este instalat. În opinia noastră, am adăuga că ar fi, de asemenea, prudent să urmăriți corecția de securitate din octombrie 2019 pentru dispozitivul dvs. și să-l instalați cât mai curând posibil.
Sursă: Proiectul Zero
Povestea prin: ArsTechnica
Actualizare: Vulnerabilitatea Android Zero-day a fost corectată cu actualizarea de securitate din octombrie 2019
CVE-2019-2215 care se referă la vulnerabilitatea de escaladare a privilegiilor nucleului menționată mai sus a fost peticizat cu Patch de securitate din octombrie 2019, în special cu nivelul de corecție de securitate 2019-10-06, așa cum sa promis. Dacă este disponibilă o actualizare de securitate pentru dispozitivul dvs., vă recomandăm să o instalați cel mai devreme.
Sursă: Buletin de securitate Android
Prin intermediul: Twitter: @maddiestone