[Aktualizácia: Opravená] Aktívne využívaná zraniteľnosť zero-day nájdená v zariadeniach Google Pixel, Huawei, Xiaomi, Samsung a ďalších

Krátke Správy XdaNov 09, 2023
click fraud protection

Výskumníci z Project Zero našli aktívne využívanú bezpečnostnú chybu zero-day, ktorá ohrozuje zariadenia Google Pixel a ďalšie! Pokračuj v čítaní!

Aktualizácia 10/10/19 o 3:05 ET: Zraniteľnosť Androidu zero-day bola opravená pomocou bezpečnostnej opravy zo 6. októbra 2019. Ak chcete získať ďalšie informácie, prejdite nadol. Článok zverejnený 6. októbra 2019 je zachovaný, ako je uvedené nižšie.

Bezpečnosť bola jedným z hlavné priority v nedávnych aktualizáciách systému Android, pričom niektoré z hlavných funkcií sú vylepšenia a zmeny v šifrovaní, povoleniach a zaobchádzaní s ochranou súkromia. Ďalšie iniciatívy ako napr Project Mainline pre Android 10 cieľom je urýchliť aktualizácie zabezpečenia, aby boli zariadenia so systémom Android bezpečnejšie. Google bol tiež usilovný a presný s bezpečnostnými záplatamia hoci je toto úsilie samo osebe chvályhodné, v operačnom systéme, akým je Android, vždy zostane priestor na zneužitie a slabé miesta. Ukázalo sa, že útočníci údajne aktívne využívajú zraniteľnosť nultého dňa v systéme Android čo im umožňuje prevziať plnú kontrolu nad určitými telefónmi od spoločností Google, Huawei, Xiaomi, Samsung a ďalších.

Google Projekt nula tím má odhalené informácie o zero-day exploite Androidu, ktorého aktívne používanie sa pripisuje skupina NSO, hoci zástupcovia NSO popreli ich použitie do ArsTechnica. Tento exploit je eskalácia privilégií jadra, ktorá používa a použitie bez použitia zraniteľnosť, ktorá umožňuje útočníkovi úplne kompromitovať zraniteľné zariadenie a rootovať ho. Keďže exploit je prístupný aj z karantény Chrome, možno ho po jeho doručení doručiť aj cez web je spárovaný s exploitom, ktorý sa zameriava na zraniteľnosť v kóde prehliadača Chrome, ktorý sa používa na vykreslenie obsahu.

V jednoduchšom jazyku môže útočník nainštalovať škodlivú aplikáciu na postihnuté zariadenia a získať root bez vedomia používateľa a ako všetci vieme, cesta sa potom úplne otvorí. A keďže sa dá spojiť s iným exploitom v prehliadači Chrome, môže doručiť aj útočník škodlivú aplikáciu prostredníctvom webového prehliadača, čím sa odstráni potreba fyzického prístupu k zariadenie. Ak sa vám to zdá vážne, je to preto, že to tak určite je – zraniteľnosť bola v systéme Android ohodnotená ako „Vysoká závažnosť“. A čo je horšie, tento exploit si nevyžaduje takmer žiadne prispôsobenie pre jednotlivé zariadenia a výskumníci z Project Zero majú tiež dôkaz o využívaní vo voľnej prírode.

Zraniteľnosť bola zrejme opravená v decembri 2017 v Vydanie Linux Kernel 4.14 LTS ale bez sledovania CVE. Oprava bola potom začlenená do verzií 3.18, 4.4, a 4.9 jadra systému Android. Oprava sa však nedostala do bezpečnostných aktualizácií systému Android, čím zostalo niekoľko zariadení zraniteľných voči tejto chybe, ktorá sa teraz sleduje ako CVE-2019-2215.

„Neúplný“ zoznam zariadení, u ktorých sa zistilo, že sú ovplyvnené, je nasledujúci:

  • Google Pixel
  • Google Pixel XL
  • Google Pixel 2
  • Google Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi Mi A1
  • Oppo A3
  • Moto Z3
  • Telefóny LG so systémom Android Oreo
  • Samsung Galaxy S7
  • Samsung Galaxy S8
  • Samsung Galaxy S9

Ako však už bolo spomenuté, toto nie je úplný zoznam, čo znamená, že pravdepodobne bude aj niekoľko ďalších zariadení boli ovplyvnené touto zraniteľnosťou napriek tomu, že majú bezpečnostné aktualizácie systému Android rovnako nové ako tá zo septembra 2019. Hovorí sa, že Google Pixel 3 a Pixel 3 XL a Google Pixel 3a a Pixel 3a XL sú pred touto zraniteľnosťou v bezpečí. Ovplyvnené zariadenia Pixel budú mať chybu zabezpečenia opravenú v pripravovanej bezpečnostnej aktualizácii systému Android z októbra 2019, ktorá by sa mala spustiť o deň alebo dva. Partnerom Androidu bola sprístupnená oprava, „aby sa zabezpečilo, že ekosystém Android bude chránený pred týmto problémom“. Keď vidíme, akí nedbalí a nonšalantní sú niektorí výrobcovia OEM ohľadom aktualizácií, nezadržali by sme dych, keby sme opravu dostali včas spôsobom.

Výskumný tím Project Zero zdieľal lokálny proof-of-concept exploit, aby demonštroval, ako možno túto chybu použiť na získanie ľubovoľného čítania/zápisu jadra pri lokálnom spustení.

Výskumný tím Project Zero prisľúbil, že v budúcom blogovom príspevku poskytne podrobnejšie vysvetlenie chyby a metodológie na jej identifikáciu. ArsTechnica zastáva názor, že existuje veľmi malá šanca, že budú zneužité tak drahými a cielenými útokmi, ako je tento; a že používatelia by mali stále odkladať inštaláciu nepodstatných aplikácií a používať prehliadač, ktorý nie je Chrome, kým sa oprava nenainštaluje. Podľa nášho názoru by sme dodali, že by bolo tiež rozumné pozrieť sa na bezpečnostnú opravu z októbra 2019 pre vaše zariadenie a nainštalovať ju čo najskôr.

Zdroj: Projekt nula

Story Via: ArsTechnica

Aktualizácia: Zraniteľnosť systému Android Zero-day bola opravená aktualizáciou zabezpečenia z októbra 2019

CVE-2019-2215, ktorá sa týka vyššie uvedenej chyby zabezpečenia eskalácie privilégií jadra bol opravený s Oprava zabezpečenia z októbra 2019, konkrétne s úrovňou bezpečnostnej opravy 2019-10-06, ako bolo sľúbené. Ak je pre vaše zariadenie k dispozícii bezpečnostná aktualizácia, dôrazne vám odporúčame ju čo najskôr nainštalovať.

Zdroj: Bulletin zabezpečenia systému Android

Cez: Twitter: @maddiestone