Project Zero'daki araştırmacılar, Google Pixel cihazlarını ve diğerlerini tehlikeye sokan, aktif olarak istismar edilen bir sıfır gün güvenlik açığı buldu! Okumaya devam etmek!
Güncelleme 10/10/19 @ 03:05 ET: Sıfır gün Android güvenlik açığı, 6 Ekim 2019 güvenlik yaması ile giderildi. Daha fazla bilgi için aşağıya doğru kaydırın. 6 Ekim 2019 tarihinde yayınlanan yazı aşağıdaki şekilde muhafaza edilmiştir.
Güvenlik bunlardan biri oldu Son Android güncellemelerinde en önemli önceliklerşifreleme, izinler ve gizlilikle ilgili işlemlerde yapılan iyileştirmeler ve değişiklikler, öne çıkan özelliklerden bazılarıdır. Gibi diğer girişimler Android 10 için Project Mainline Android cihazları daha güvenli hale getirmek için güvenlik güncellemelerini hızlandırmayı hedefliyoruz. Google ayrıca güvenlik yamaları konusunda da özenli ve dakik davrandıBu çabalar kendi başlarına övgüye değer olsa da, Android gibi bir işletim sisteminde her zaman açıklardan yararlanma ve güvenlik açıklarına yönelik bir alan kalacaktır. Görünüşe göre saldırganların Android'deki sıfır gün güvenlik açığından aktif olarak yararlandıkları iddia ediliyor bu onların Google, Huawei, Xiaomi, Samsung ve diğerlerinden belirli telefonların tam kontrolünü ele geçirmelerine olanak tanıyor.
Google'ın Sıfır Proje takım var ortaya çıkan bilgi Aktif kullanımı şuna atfedilen sıfırıncı gün Android istismarı hakkında: NSO grubuNSO temsilcileri aynı yöntemin kullanımını reddetse de ile ArsTechnica. Bu istismar, bir çekirdek ayrıcalık yükseltmesidir. ücretsiz kullanım sonrası Saldırganın savunmasız bir cihazı tamamen tehlikeye atmasına ve cihazı rootlamasına olanak tanıyan güvenlik açığı. Bu istismara Chrome korumalı alanından da erişilebildiğinden, erişim sağlandıktan sonra web üzerinden de dağıtılabilir. oluşturmak için kullanılan Chrome kodundaki bir güvenlik açığını hedefleyen bir istismarla eşleştirildi içerik.
Daha basit bir ifadeyle, bir saldırgan, etkilenen cihazlara kötü amaçlı bir uygulama yükleyerek kullanıcının bilgisi olmadan root elde edebiliyor ve hepimizin bildiği gibi bundan sonra yol tamamen açılıyor. Ayrıca Chrome tarayıcısındaki başka bir istismarla zincirlenebileceğinden, saldırgan aynı zamanda kötü amaçlı uygulamayı web tarayıcısı aracılığıyla ortadan kaldırarak, cihaz. Bu size ciddi geliyorsa, o zaman kesinlikle öyledir; güvenlik açığı Android'de "Yüksek Önem" olarak derecelendirilmiştir. Daha da kötüsü, bu istismar cihaz başına çok az özelleştirme gerektiriyor veya hiç gerektirmiyor ve Project Zero'daki araştırmacıların da istismarın vahşi ortamda kullanıldığına dair kanıtları var.
Güvenlik açığının Aralık 2017'de yamalandığı anlaşılıyor. Linux Çekirdeği 4.14 LTS sürümü ancak izleme CVE'si olmadan. Düzeltme daha sonra sürümlere dahil edildi 3.18, 4.4, Ve 4.9 Android çekirdeğinin. Ancak düzeltmenin Android güvenlik güncellemelerinde yer almaması, birçok cihazı şu anda CVE-2019-2215 olarak izlenen bu kusura karşı savunmasız bıraktı.
Etkilendiği tespit edilen cihazların "kapsamlı olmayan" listesi aşağıdaki gibidir:
- Google Piksel
- Google Piksel XL
- Google Piksel 2
- Google Piksel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Not 5
- Xiao mi mi A1
- Oppo A3
- Moto Z3
- Android Oreo'lu LG telefonlar
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Bununla birlikte, belirtildiği gibi, bu kapsamlı bir liste değildir; bu, başka birçok cihazın da muhtemelen kullanılabileceği anlamına gelir. Eylül ayındaki kadar yeni Android güvenlik güncellemeleri olmasına rağmen bu güvenlik açığından etkilenmiş olanlar 2019. Google Pixel 3 ve Pixel 3 XL ile Google Pixel 3a ve Pixel 3a XL'nin bu güvenlik açığına karşı güvenli olduğu söyleniyor. Etkilenen Pixel cihazlarda güvenlik açığı, bir veya iki gün içinde yayınlanacak olan Ekim 2019 Android güvenlik güncellemesinde yamalı olacak. "Android ekosisteminin soruna karşı korunmasını sağlamak için" Android ortaklarına bir yama sunuldu, ancak Bazı OEM'lerin güncellemeler konusunda ne kadar dikkatsiz ve kayıtsız olduğunu görünce, düzeltmeyi zamanında aldığımızda nefesimizi tutamazdık biçim.
Project Zero araştırma ekibi, yerel olarak çalışırken bu hatanın rastgele çekirdek okuma/yazma elde etmek için nasıl kullanılabileceğini göstermek için yerel bir kavram kanıtlama istismarını paylaştı.
Project Zero araştırma ekibi, gelecekteki bir blog yazısında hatanın daha ayrıntılı bir açıklamasını ve onu tanımlamaya yönelik metodolojiyi sunacağına söz verdi. ArsTechnica bunun kadar pahalı ve hedefli saldırılardan yararlanma ihtimalinin son derece zayıf olduğu görüşünde; ve kullanıcıların, yama yüklenene kadar gerekli olmayan uygulamaları yüklemeyi ertelemeleri ve Chrome olmayan bir tarayıcı kullanmaları gerektiğini söyledi. Ayrıca cihazınıza özel Ekim 2019 güvenlik yamasını da araştırıp en kısa sürede yüklemenizin daha akıllıca olacağını düşünüyoruz.
Kaynak: Sıfır Proje
Hikaye Yoluyla: ArsTechnica
Güncelleme: Sıfırıncı gün Android güvenlik açığı Ekim 2019 güvenlik güncellemesiyle düzeltildi
Yukarıda belirtilen çekirdek ayrıcalık yükseltme güvenlik açığıyla ilgili CVE-2019-2215 yamalı ile Ekim 2019 güvenlik yaması, özellikle söz verildiği gibi 2019-10-06 güvenlik yaması seviyesiyle. Cihazınız için bir güvenlik güncellemesi mevcutsa, bunu en kısa sürede yüklemenizi önemle tavsiye ederiz.
Kaynak: Android Güvenlik Bülteni
Aracılığıyla: Twitter: @maddiestone