Исследователи из Project Zero обнаружили активно используемую уязвимость безопасности нулевого дня, которая ставит под угрозу устройства Google Pixel и другие устройства! Читай дальше!
Обновление от 10.10.19 в 3:05 утра по восточному времени: Уязвимость Android нулевого дня была исправлена с помощью исправления безопасности от 6 октября 2019 года. Прокрутите вниз для получения дополнительной информации. Статья, опубликованная 6 октября 2019 г., сохранена ниже.
Безопасность была одной из главные приоритеты в последних обновлениях Android, причем улучшения и изменения в шифровании, разрешениях и обработке конфиденциальности являются одними из главных функций. Другие инициативы, такие как Основная линия проекта для Android 10 стремитесь ускорить обновления безопасности, чтобы сделать устройства Android более безопасными. Google также усердно и пунктуально выпускает исправления безопасности., и хотя эти усилия сами по себе заслуживают похвалы, в такой ОС, как Android, всегда останется место для эксплойтов и уязвимостей. Как выяснилось, злоумышленники активно использовали уязвимость нулевого дня в Android. это позволяет им получить полный контроль над некоторыми телефонами Google, Huawei, Xiaomi, Samsung и других.
Google Проект Ноль команда имеет раскрытая информация об эксплойте нулевого дня для Android, активное использование которого связывают с группа НСО, хотя представители НСО отрицают использование того же к АрсТехника. Этот эксплойт представляет собой повышение привилегий ядра, использующее использовать после бесплатного использования уязвимость, позволяющая злоумышленнику полностью скомпрометировать уязвимое устройство и получить его root-права. Поскольку эксплойт также доступен из песочницы Chrome, его также можно доставить через Интернет, как только он будет готов. сочетается с эксплойтом, нацеленным на уязвимость в коде Chrome, который используется для рендеринга содержание.
Говоря более простым языком, злоумышленник может установить вредоносное приложение на пораженные устройства и получить root права без ведома пользователя, и, как мы все знаем, после этого дорога полностью открывается. А поскольку он может быть связан с другим эксплойтом в браузере Chrome, злоумышленник также может доставить вредоносное приложение через веб-браузер, устраняя необходимость физического доступа к устройство. Если для вас это звучит серьезно, то это потому, что так оно и есть — уязвимость на Android получила оценку «высокая серьезность». Что еще хуже, этот эксплойт практически не требует настройки для каждого устройства, и у исследователей Project Zero также есть доказательства того, что эксплойт используется в реальных условиях.
Уязвимость, по-видимому, была исправлена в декабре 2017 года в Выпуск ядра Linux 4.14 LTS но без отслеживания CVE. Затем исправление было включено в версии 3.18, 4.4, и 4.9 ядра Android. Однако исправление не вошло в обновления безопасности Android, в результате чего несколько устройств стали уязвимы для этой уязвимости, которая теперь отслеживается как CVE-2019-2215.
«Неисчерпывающий» список устройств, на которых была обнаружена уязвимость, выглядит следующим образом:
- Google Пиксель
- Гугл Пиксель XL
- Гугл Пиксель 2
- Гугл Пиксель 2 XL
- Хуавей П20
- Сяоми Редми 5А
- Сяоми Редми Примечание 5
- Сяоми Ми А1
- Оппо А3
- Мото Z3
- Телефоны LG на Android Oreo
- Самсунг Галакси С7
- Самсунг Галакси С8
- Самсунг Галакси С9
Однако, как уже упоминалось, это не исчерпывающий список, а это означает, что некоторые другие устройства, вероятно, также будут пострадали от этой уязвимости, несмотря на то, что обновления безопасности Android были такими же новыми, как и сентябрьское. 2019. Говорят, что Google Pixel 3 и Pixel 3 XL, а также Google Pixel 3a и Pixel 3a XL защищены от этой уязвимости. На затронутых устройствах Pixel уязвимость будет исправлена в предстоящем обновлении безопасности Android от октября 2019 года, которое должно выйти в свет через день или два. Патч был доступен партнерам Android, «чтобы обеспечить защиту экосистемы Android от этой проблемы», но видя, насколько небрежно и беспечно некоторые OEM-производители относятся к обновлениям, мы не будем задерживать дыхание, чтобы своевременно получить исправление. образом.
Исследовательская группа Project Zero поделилась локальным эксплойтом для проверки концепции, чтобы продемонстрировать, как эту ошибку можно использовать для получения произвольного чтения/записи ядра при локальном запуске.
Исследовательская группа Project Zero пообещала предоставить более подробное объяснение ошибки и методологию ее выявления в будущем сообщении в блоге. АрсТехника придерживается мнения, что шансы на то, что их будут использовать в ходе таких дорогостоящих и целенаправленных атак, как эта, крайне малы; и что пользователям по-прежнему следует воздерживаться от установки второстепенных приложений и использовать браузер, отличный от Chrome, до тех пор, пока не будет установлен патч. По нашему мнению, мы хотели бы добавить, что было бы также разумно поискать патч безопасности для вашего устройства за октябрь 2019 года и установить его как можно скорее.
Источник: Проект Ноль
История через: АрсТехника
Обновление: уязвимость Android нулевого дня исправлена в обновлении безопасности за октябрь 2019 г.
CVE-2019-2215, связанная с вышеупомянутой уязвимостью повышения привилегий ядра. был исправлен с Обновление безопасности от октября 2019 г., в частности с патчем безопасности уровня 2019-10-06, как и было обещано. Если для вашего устройства доступно обновление безопасности, мы настоятельно рекомендуем установить его как можно скорее.
Источник: Бюллетень по безопасности Android
С помощью: Твиттер: @maddiestone