Forskare vid Project Zero har hittat en aktivt utnyttjad nolldagssäkerhetssårbarhet som äventyrar Google Pixel-enheter och andra! Läs vidare!
Uppdatering 10/10/19 @ 3:05 AM ET: Noll-dagars Android-sårbarheten har korrigerats med säkerhetskorrigeringen den 6 oktober 2019. Scrolla till botten för mer information. Artikeln som publicerades den 6 oktober 2019 finns bevarad enligt nedan.
Säkerhet har varit en av de högsta prioritet i de senaste Android-uppdateringarna, med förbättringar och ändringar av kryptering, behörigheter och integritetsrelaterad hantering som några av huvudfunktionerna. Andra initiativ som t.ex Project Mainline för Android 10 syftar till att påskynda säkerhetsuppdateringar för att göra Android-enheter säkrare. Google har också varit flitigt och punktligt med säkerhetskorrigeringar, och även om dessa ansträngningar är berömvärda i sig, kommer det alltid att finnas utrymme för utnyttjande och sårbarheter i ett operativsystem som Android. Som det visar sig har angripare påstås ha hittats aktivt utnyttja en nolldagarssårbarhet i Android som gör att de kan ta över full kontroll över vissa telefoner från Google, Huawei, Xiaomi, Samsung och andra.
Googles Projekt Zero laget har avslöjat information om en zero-day Android-exploatering, vars aktiva användning tillskrivs NSO-gruppen, även om representanter från NSO har förnekat användningen av densamma till ArsTechnica. Denna exploatering är en eskalering av kärnprivilegier som använder en användning-efter-fri sårbarhet, vilket gör det möjligt för angriparen att fullständigt äventyra en sårbar enhet och rota den. Eftersom exploateringen också är tillgänglig från Chrome-sandlådan kan den också levereras via webben när den är klar är ihopkopplad med en exploatering som riktar sig mot en sårbarhet i koden i Chrome som används för att rendera innehåll.
På ett enklare språk kan en angripare installera en skadlig applikation på drabbade enheter och uppnå root utan användarens vetskap, och som vi alla vet öppnar sig vägen helt efter det. Och eftersom det kan kedjas med en annan exploatering i Chrome-webbläsaren, kan angriparen också leverera den skadliga applikationen via webbläsaren, vilket tar bort behovet av fysisk åtkomst till enhet. Om detta låter allvarligt för dig, så är det för att det verkligen är det - sårbarheten har klassats som "Hög allvarlighet" på Android. Vad värre är, detta utnyttjande kräver liten eller ingen anpassning per enhet, och forskarna vid Project Zero har också bevis på att utnyttjandet används i naturen.
Sårbarheten korrigerades tydligen i december 2017 i Linux Kernel 4.14 LTS-version men utan en spårande CVE. Fixeringen införlivades sedan i versioner 3.18, 4.4, och 4.9 av Android-kärnan. Men korrigeringen kom inte in i Android-säkerhetsuppdateringar, vilket gör flera enheter sårbara för detta fel som nu spåras som CVE-2019-2215.
Den "icke uttömmande" listan över enheter som har visat sig vara påverkade är följande:
- Google Pixel
- Google Pixel XL
- Google Pixel 2
- Google Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi Mi A1
- Oppo A3
- Moto Z3
- LG-telefoner på Android Oreo
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Detta är dock som nämnt inte en uttömmande lista, vilket innebär att flera andra enheter också kommer att göra det har påverkats av denna sårbarhet trots att Android-säkerhetsuppdateringar är lika nya som den från september 2019. Google Pixel 3 och Pixel 3 XL och Google Pixel 3a och Pixel 3a XL sägs vara säkra från denna sårbarhet. Berörda Pixel-enheter kommer att ha korrigerad sårbarhet i den kommande Android-säkerhetsuppdateringen från oktober 2019, som bör gå live om en dag eller två. En patch har gjorts tillgänglig för Android-partner "för att säkerställa att Android-ekosystemet är skyddat mot problemet", men När vi ser hur slarviga och nonchalanta vissa OEM-tillverkare är när det gäller uppdateringar, skulle vi inte hålla andan när vi tar emot korrigeringen i tid sätt.
Forskningsteamet Project Zero har delat med sig av en lokal proof-of-concept-exploatering för att demonstrera hur denna bugg kan användas för att få godtycklig läsning/skrivning av kärnan när den körs lokalt.
Forskningsgruppen Project Zero har lovat att ge en mer detaljerad förklaring av buggen och metodiken för att identifiera den i ett framtida blogginlägg. ArsTechnica Parlamentet anser att det finns extremt små chanser att bli utnyttjad av så dyra och målinriktade attacker som denna. och att användare fortfarande bör vänta med att installera icke-nödvändiga appar och använda en webbläsare som inte kommer från Chrome tills patchen är installerad. Enligt vår åsikt vill vi tillägga att det också skulle vara klokt att hålla utkik efter säkerhetskorrigeringen från oktober 2019 för din enhet och installera den så snart som möjligt.
Källa: Projekt Zero
Berättelse via: ArsTechnica
Uppdatering: Zero-day Android-sårbarheten har korrigerats med säkerhetsuppdateringen från oktober 2019
CVE-2019-2215 som relaterar till den ovan nämnda sårbarheten för eskalering av kärnprivilegier har lappats med Säkerhetskorrigering för oktober 2019, specifikt med säkerhetskorrigeringsnivå 2019-10-06, som utlovat. Om en säkerhetsuppdatering är tillgänglig för din enhet rekommenderar vi starkt att du installerar den så snart som möjligt.
Källa: Android säkerhetsbulletin
Via: Twitter: @maddiestone