นักวิจัยที่ Project Zero ค้นพบช่องโหว่ด้านความปลอดภัยแบบ Zero-day ที่ถูกใช้ประโยชน์อย่างแข็งขัน ซึ่งส่งผลกระทบต่ออุปกรณ์ Google Pixel และอื่นๆ อ่านต่อ!
อัปเดต 10/10/19 @ 3:05 น. ET: ช่องโหว่ Zero-day ของ Android ได้รับการแก้ไขแล้วพร้อมกับแพตช์รักษาความปลอดภัยในวันที่ 6 ตุลาคม 2019 เลื่อนไปด้านล่างเพื่อดูข้อมูลเพิ่มเติม บทความที่เผยแพร่เมื่อวันที่ 6 ตุลาคม 2019 จะถูกเก็บรักษาไว้ดังต่อไปนี้
การรักษาความปลอดภัยก็เป็นหนึ่งในนั้น ลำดับความสำคัญสูงสุดในการอัปเดต Android ล่าสุดโดยมีการปรับปรุงและการเปลี่ยนแปลงการเข้ารหัส การอนุญาต และการจัดการที่เกี่ยวข้องกับความเป็นส่วนตัวเป็นฟีเจอร์หลักบางส่วน ความคิดริเริ่มอื่น ๆ เช่น โปรเจ็กต์ Mainline สำหรับ Android 10 มุ่งเป้าไปที่การเร่งความเร็วการอัปเดตความปลอดภัยเพื่อทำให้อุปกรณ์ Android ปลอดภัยยิ่งขึ้น Google ยังขยันขันแข็งและตรงต่อเวลากับแพตช์รักษาความปลอดภัยและแม้ว่าความพยายามเหล่านี้น่ายกย่องในสิทธิของตนเอง แต่ก็ยังมีขอบเขตสำหรับการหาประโยชน์และช่องโหว่ในระบบปฏิบัติการเช่น Android อยู่เสมอ ปรากฎว่าพบว่ามีผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่แบบ Zero-day ใน Android ที่ทำให้พวกเขาสามารถควบคุมโทรศัพท์บางรุ่นจาก Google, Huawei, Xiaomi, Samsung และอื่น ๆ ได้อย่างสมบูรณ์
ของกูเกิล โครงการศูนย์ ทีมมี ข้อมูลที่เปิดเผย เกี่ยวกับการใช้ประโยชน์จาก Android แบบซีโรเดย์ ซึ่งมีสาเหตุมาจากการใช้งานจริง กลุ่ม สสสแม้ว่าตัวแทนจาก สสช. จะปฏิเสธการใช้แบบเดียวกันก็ตาม ถึง อาทเทคนิค. การใช้ประโยชน์นี้เป็นการยกระดับสิทธิ์เคอร์เนลที่ใช้ ใช้งานฟรี ช่องโหว่ทำให้ผู้โจมตีสามารถประนีประนอมอุปกรณ์ที่มีช่องโหว่และทำการรูทอุปกรณ์ได้ เนื่องจากสามารถเข้าถึงได้จากแซนด์บ็อกซ์ของ Chrome จึงสามารถส่งผ่านเว็บได้ทันที ถูกจับคู่กับการหาประโยชน์ที่กำหนดเป้าหมายไปที่ช่องโหว่ในโค้ดใน Chrome ที่ใช้ในการแสดงผล เนื้อหา.
ในภาษาที่ง่ายกว่า ผู้โจมตีสามารถติดตั้งแอปพลิเคชันที่เป็นอันตรายบนอุปกรณ์ที่ได้รับผลกระทบและเข้าถึงรูทโดยที่ผู้ใช้ไม่รู้ และดังที่เราทุกคนทราบ ถนนจะเปิดขึ้นอย่างสมบูรณ์หลังจากนั้น และเนื่องจากมันสามารถเชื่อมโยงกับช่องโหว่อื่นในเบราว์เซอร์ Chrome ผู้โจมตีจึงสามารถส่งมอบได้เช่นกัน แอปพลิเคชันที่เป็นอันตรายผ่านเว็บเบราว์เซอร์ ทำให้ไม่จำเป็นต้องเข้าถึงทางกายภาพ อุปกรณ์. หากสิ่งนี้ฟังดูร้ายแรงสำหรับคุณ นั่นเป็นเพราะมันเป็นเช่นนั้นอย่างแน่นอน - ช่องโหว่นี้ได้รับการจัดอันดับเป็น "ความรุนแรงสูง" บน Android ที่แย่กว่านั้นคือการหาช่องโหว่นี้ต้องการการปรับแต่งเพียงเล็กน้อยหรือไม่ต้องปรับแต่งอุปกรณ์เลย และนักวิจัยที่ Project Zero ยังได้พิสูจน์ว่ามีการนำการหาประโยชน์ไปใช้ในป่าอีกด้วย
เห็นได้ชัดว่าช่องโหว่นี้ได้รับการแก้ไขในเดือนธันวาคม 2560 ใน Linux Kernel 4.14 LTS เปิดตัว แต่ไม่มี CVE ติดตาม จากนั้นการแก้ไขก็รวมอยู่ในเวอร์ชันต่างๆ 3.18, 4.4, และ 4.9 ของเคอร์เนล Android อย่างไรก็ตาม การแก้ไขดังกล่าวไม่ได้เกิดขึ้นในการอัปเดตความปลอดภัยของ Android ทำให้อุปกรณ์หลายเครื่องเสี่ยงต่อข้อบกพร่องนี้ซึ่งขณะนี้ถูกติดตามเป็น CVE-2019-2215
รายการอุปกรณ์ "โดยย่อ" ที่พบว่าได้รับผลกระทบมีดังนี้:
- กูเกิลพิกเซล
- Google พิกเซล XL
- กูเกิลพิกเซล 2
- กูเกิล พิกเซล 2 XL
- หัวเว่ย P20
- เสี่ยวมี่ เรดมี่ 5A
- เสี่ยวมี่ เรดมี่ โน๊ต 5
- เสี่ยวมี่ Mi A1
- ออปโป้A3
- โมโต Z3
- โทรศัพท์ LG บน Android Oreo
- ซัมซุงกาแล็คซี่ S7
- ซัมซุงกาแล็คซี่ S8
- ซัมซุงกาแล็คซี่ S9
อย่างไรก็ตาม ดังที่ได้กล่าวไปแล้ว นี่ไม่ใช่รายการที่ครบถ้วนสมบูรณ์ ซึ่งหมายความว่าอุปกรณ์อื่นๆ อีกหลายรายการก็มีแนวโน้มที่จะทำเช่นนั้นเช่นกัน ได้รับผลกระทบจากช่องโหว่นี้แม้ว่าจะมีการอัปเดตความปลอดภัยของ Android ใหม่เหมือนตั้งแต่เดือนกันยายนก็ตาม 2019. Google Pixel 3 และ Pixel 3 XL และ Google Pixel 3a และ Pixel 3a XL ได้รับการกล่าวขานว่าปลอดภัยจากช่องโหว่นี้ อุปกรณ์ Pixel ที่ได้รับผลกระทบจะมีการแก้ไขช่องโหว่ในการอัปเดตความปลอดภัยของ Android ในเดือนตุลาคม 2019 ที่จะถึงนี้ ซึ่งน่าจะใช้งานได้ภายในหนึ่งหรือสองวัน มีการเผยแพร่แพตช์สำหรับพันธมิตร Android "เพื่อให้แน่ใจว่าระบบนิเวศของ Android ได้รับการปกป้องจากปัญหานี้" เมื่อเห็นว่า OEM บางรายมีความประมาทและไม่ใส่ใจเกี่ยวกับการอัปเดตอย่างไร เราจะไม่กลั้นหายใจเพื่อรับการแก้ไขในเวลาที่เหมาะสม มารยาท.
ทีมวิจัย Project Zero ได้แบ่งปันการใช้ประโยชน์จากการพิสูจน์แนวคิดในท้องถิ่นเพื่อสาธิตวิธีการใช้จุดบกพร่องนี้เพื่อรับการอ่าน/เขียนเคอร์เนลโดยอำเภอใจเมื่อทำงานภายในเครื่อง
ทีมวิจัย Project Zero สัญญาว่าจะให้คำอธิบายโดยละเอียดเพิ่มเติมเกี่ยวกับจุดบกพร่องและวิธีการในการระบุจุดบกพร่องดังกล่าวในบล็อกโพสต์ในอนาคต อาทเทคนิค มีความเห็นว่ามีโอกาสน้อยมากที่จะถูกโจมตีโดยมีราคาแพงและเป็นเป้าหมายเช่นนี้ และผู้ใช้ควรระงับการติดตั้งแอปที่ไม่จำเป็นและใช้เบราว์เซอร์ที่ไม่ใช่ Chrome จนกว่าจะติดตั้งแพตช์ ในความเห็นของเรา เราจะเสริมว่าควรระวังแพตช์รักษาความปลอดภัยเดือนตุลาคม 2019 สำหรับอุปกรณ์ของคุณและติดตั้งโดยเร็วที่สุด
แหล่งที่มา: โครงการศูนย์
เรื่องราวผ่าน: อาทเทคนิค
อัปเดต: ช่องโหว่ Zero-day Android ได้รับการแก้ไขแล้วด้วยการอัปเดตความปลอดภัยในเดือนตุลาคม 2019
CVE-2019-2215 ซึ่งเกี่ยวข้องกับช่องโหว่การเลื่อนระดับสิทธิ์เคอร์เนลที่กล่าวข้างต้น ได้รับการแก้ไขแล้ว กับ แพทช์รักษาความปลอดภัยเดือนตุลาคม 2019โดยเฉพาะกับแพตช์ความปลอดภัยระดับ 2019-10-06 ตามที่สัญญาไว้ หากมีการอัปเดตความปลอดภัยสำหรับอุปกรณ์ของคุณ เราขอแนะนำให้ติดตั้งโดยเร็วที่สุด
แหล่งที่มา: กระดานข่าวความปลอดภัยของ Android
ทาง: ทวิตเตอร์: @maddiestone