Raziskovalci pri Project Zero so odkrili aktivno izkoriščeno varnostno ranljivost ničelnega dne, ki ogroža naprave Google Pixel in druge! Beri naprej!
Posodobitev 10. 10. 2019 ob 3:05 ET: Ranljivost zero-day Android je bila popravljena z varnostnim popravkom iz 6. oktobra 2019. Za več informacij se pomaknite na dno. Članek, kot je bil objavljen 6. oktobra 2019, je ohranjen kot spodaj.
Varnost je bila ena od glavne prioritete v zadnjih posodobitvah za Android, pri čemer so izboljšave in spremembe šifriranja, dovoljenj in upravljanja, povezanega z zasebnostjo, nekatere glavne funkcije. Druge pobude, kot npr Project Mainline za Android 10 si prizadevajo za pospešitev varnostnih posodobitev, da bodo naprave Android varnejše. Google je bil prizadeven in točen tudi z varnostnimi popravki, in čeprav so ta prizadevanja sama po sebi hvalevredna, bo v OS, kot je Android, vedno ostal prostor za izkoriščanja in ranljivosti. Izkazalo se je, da so napadalci domnevno aktivno izkoriščali ranljivost zero-day v Androidu ki jim omogoča, da prevzamejo popoln nadzor nad določenimi telefoni Googla, Huaweija, Xiaomija, Samsunga in drugih.
Googlov Projekt Zero ekipa ima razkrite informacije o zero-day Android exploit, katerega aktivna uporaba se pripisuje skupina NSO, čeprav so predstavniki NSO zanikali uporabo le-tega do ArsTechnica. To izkoriščanje je stopnjevanje privilegijev jedra, ki uporablja a brezplačna uporaba ranljivost, ki napadalcu omogoča, da v celoti ogrozi ranljivo napravo in jo roota. Ker je izkoriščanje dostopno tudi iz peskovnika Chrome, ga je mogoče dostaviti tudi prek spleta je združen z izkoriščanjem, ki cilja na ranljivost v kodi v Chromu, ki se uporablja za upodabljanje vsebino.
Preprosteje rečeno, napadalec lahko na prizadete naprave namesti zlonamerno aplikacijo in doseže root brez vednosti uporabnika, in kot vsi vemo, se potem pot popolnoma odpre. In ker ga je mogoče povezati z drugim izkoriščanjem v brskalniku Chrome, lahko napadalec tudi izvede zlonamerno aplikacijo prek spletnega brskalnika, s čimer ni več potrebe po fizičnem dostopu do napravo. Če se vam to zdi resno, je to zato, ker zagotovo je -- ranljivost je bila v Androidu ocenjena kot "visoka resnost". Kar je še huje, to izkoriščanje zahteva malo ali nič prilagajanja za vsako napravo, raziskovalci pri Project Zero pa imajo tudi dokaz, da se izkoriščanje uporablja v naravi.
Ranljivost je bila očitno popravljena decembra 2017 v Izdaja jedra Linuxa 4.14 LTS vendar brez CVE za sledenje. Popravek je bil nato vključen v različice 3.18, 4.4, in 4.9 jedra Android. Vendar popravek ni prišel v varnostne posodobitve za Android, zaradi česar je več naprav ranljivih za to napako, ki se zdaj spremlja kot CVE-2019-2215.
"Nepopoln" seznam naprav, za katere je bilo ugotovljeno, da so prizadete, je naslednji:
- Google Pixel
- Google Pixel XL
- Google Pixel 2
- Google Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi Mi A1
- Oppo A3
- Moto Z3
- Telefoni LG s sistemom Android Oreo
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Vendar, kot že omenjeno, to ni izčrpen seznam, kar pomeni, da bo verjetno tudi več drugih naprav je prizadela ta ranljivost kljub temu, da so varnostne posodobitve za Android tako nove, kot je bila tista iz septembra 2019. Google Pixel 3 in Pixel 3 XL ter Google Pixel 3a in Pixel 3a XL naj bi bili varni pred to ranljivostjo. Na prizadetih napravah Pixel bo ranljivost popravljena v prihajajoči varnostni posodobitvi za Android oktobra 2019, ki naj bi začela delovati čez dan ali dva. Popravek je bil na voljo partnerjem za Android, "da bi zagotovili, da je ekosistem Android zaščiten pred težavo", vendar ko vidimo, kako neprevidni in brezbrižni so določeni proizvajalci originalne opreme glede posodobitev, ne bi zadrževali diha, ko bi popravek prejeli pravočasno način.
Raziskovalna skupina Project Zero je delila lokalno dokazilo o konceptu izkoriščanja, da pokaže, kako je mogoče to napako uporabiti za pridobitev poljubnega branja/pisanja jedra pri lokalnem izvajanju.
Raziskovalna skupina Project Zero je obljubila, da bo zagotovila podrobnejšo razlago napake in metodologijo za njeno prepoznavanje v prihodnji objavi na blogu. ArsTechnica meni, da so zelo majhne možnosti, da bi nas izkoristili tako dragi in ciljno usmerjeni napadi, kot je ta; in da naj uporabniki še vedno odlašajo z namestitvijo nebistvenih aplikacij in uporabljajo brskalnik, ki ni Chrome, dokler popravek ni nameščen. Po našem mnenju bi dodali, da bi bilo prav tako pametno poiskati varnostni popravek za vašo napravo iz oktobra 2019 in ga namestiti čim prej.
Vir: Projekt Zero
Zgodba prek: ArsTechnica
Posodobitev: ranljivost Zero-day Android je bila popravljena z varnostno posodobitvijo iz oktobra 2019
CVE-2019-2215, ki se nanaša na zgoraj omenjeno ranljivost stopnjevanja privilegijev jedra je bil popravljen z Varnostni popravek iz oktobra 2019, zlasti s stopnjo varnostnega popravka 2019-10-06, kot je bilo obljubljeno. Če je za vašo napravo na voljo varnostna posodobitev, toplo priporočamo, da jo namestite čim prej.
Vir: Varnostni bilten za Android
prek: Twitter: @maddieston