Дослідники з Project Zero знайшли активно використовувану вразливість безпеки нульового дня, яка загрожує пристроям Google Pixel та іншим! Читай далі!
Оновлення 10/10/19 о 3:05 за східним часом: Уразливість нульового дня Android було виправлено за допомогою виправлення безпеки від 6 жовтня 2019 року. Прокрутіть униз, щоб дізнатися більше. Статтю, опубліковану 6 жовтня 2019 р., збережено, як показано нижче.
Безпека була одним із головні пріоритети в останніх оновленнях Android, з покращеннями та змінами в шифруванні, дозволах і конфіденційності, які є одними з головних функцій. Інші ініціативи, такі як Project Mainline для Android 10 націлені на пришвидшення оновлень безпеки, щоб зробити пристрої Android безпечнішими. Google також була старанною та пунктуальною з виправленнями безпеки, і хоча ці зусилля самі по собі заслуговують похвали, у такій ОС, як Android, завжди буде місце для експлойтів і вразливостей. Як виявилося, зловмисники нібито активно використовують уразливість нульового дня в Android що дозволяє їм отримати повний контроль над певними телефонами від Google, Huawei, Xiaomi, Samsung та інших.
Google Проект Нуль команда має виявлену інформацію про експлойт Android нульового дня, активне використання якого приписують Група НСО, хоча представники NSO заперечують його використання до ArsTechnica. Цей експлойт є ескалацією привілеїв ядра, яка використовує a використовувати після-безкоштовно уразливість, що дозволяє зловмиснику повністю скомпрометувати вразливий пристрій і викорінити його. Оскільки експлойт також доступний із пісочниці Chrome, його також можна завантажити через Інтернет поєднується з експлойтом, спрямованим на вразливість у коді Chrome, який використовується для відтворення вміст.
Говорячи простішою мовою, зловмисник може встановити шкідливу програму на уражені пристрої та отримати root-права без відома користувача, і, як ми всі знаємо, після цього шлях відкривається повністю. А оскільки його можна зв’язати з іншим експлойтом у веб-переглядачі Chrome, зловмисник також може зробити це шкідливу програму через веб-браузер, усуваючи потребу у фізичному доступі до пристрій. Якщо це звучить для вас серйозно, то це тому, що це, безперечно, — уразливість оцінена як «Високий рівень серйозності» на Android. Що ще гірше, цей експлойт практично не потребує налаштування для кожного пристрою, і дослідники з Project Zero також мають докази використання експлойту в дикій природі.
Уразливість, очевидно, було виправлено в грудні 2017 року в Випуск ядра Linux 4.14 LTS але без відстеження CVE. Потім виправлення було включено до версій 3.18, 4.4, і 4.9 ядра Android. Однак виправлення не потрапило в оновлення системи безпеки Android, через що кілька пристроїв стали вразливими до цієї вади, яка зараз відстежується як CVE-2019-2215.
Нижче наведено "неповний" список пристроїв, на яких було виявлено ураження:
- Google Pixel
- Google Pixel XL
- Google Pixel 2
- Google Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi Mi A1
- Oppo A3
- Moto Z3
- Телефони LG на Android Oreo
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Однак, як згадувалося, це не вичерпний список, а це означає, що деякі інші пристрої також, ймовірно, також були вражені цією вразливістю, незважаючи на оновлення системи безпеки Android, такі ж нові, як вересневе 2019. Кажуть, що Google Pixel 3 і Pixel 3 XL, а також Google Pixel 3a і Pixel 3a XL захищені від цієї вразливості. Уражені пристрої Pixel виправлять уразливість у майбутньому оновленні системи безпеки Android у жовтні 2019 року, яке має вийти через день-два. Виправлення було надано партнерам Android, «щоб забезпечити захист екосистеми Android від проблеми», але бачачи, наскільки недбало та безтурботно певні OEM-виробники ставляться до оновлень, ми б не затамували подих, отримавши виправлення вчасно спосіб.
Дослідницька група Project Zero поділилася експлойтом для локального підтвердження концепції, щоб продемонструвати, як цю помилку можна використовувати для довільного читання/запису ядра під час локальної роботи.
Дослідницька група Project Zero пообіцяла надати більш детальне пояснення помилки та методології її виявлення в наступній публікації в блозі. ArsTechnica вважає, що існує надзвичайно мала ймовірність бути використаним такими дорогими та цілеспрямованими атаками, як ця; і що користувачі все одно повинні відкласти встановлення неосновних програм і використовувати веб-переглядач, відмінний від Chrome, доки не буде встановлено виправлення. На нашу думку, ми додамо, що також було б розумно звернути увагу на виправлення безпеки від жовтня 2019 року для вашого пристрою та встановити його якомога швидше.
Джерело: Проект Нуль
Історія через: ArsTechnica
Оновлення: вразливість Zero-day Android було виправлено в оновленні системи безпеки за жовтень 2019 року
CVE-2019-2215, який стосується вищезгаданої вразливості підвищення привілеїв ядра було виправлено з Виправлення безпеки від жовтня 2019 року, зокрема з виправленням безпеки 2019-10-06, як і було обіцяно. Якщо для вашого пристрою доступне оновлення безпеки, наполегливо рекомендуємо встановити його якнайшвидше.
Джерело: Бюлетень безпеки Android
Через: Твіттер: @maddieston