Szerző: Hlács Ferenc

2019. szeptember 6. 13:00

Fél éve nem javít a Google egy androidos zero-day sebezhetőséget

A hiba emelkedett jogosultságokat adhat a támadóknak, igaz csak ha korábban bejutottak a telefonra. A Google korábbi ígéretével ellentétben a szeptemberi androidos javítócsomagban sem orvosolta a sérülékenységet.

Súlyos androidos zero-day sebezhetőséget fedeztek fel a Trend Micro biztonsági szakértői, amellyel emelkedett jogosultságok szerezhetők az olyan készülékeken, amelyekre korábban már sikerült bejutni a támadóknak.

A sérülékenység kihasználásához tehát már szükség van bizonyos szintű hozzáférésre az eszközön, a kutatók szerint ugyanakkor elég, ha a támadó alacsony jogosultságú kódot tud azon futtatni. A hiba a valós idejű videórögzítés során használt V4L2 driverben gyökerezik, amely bizonyos objektumoknál nem végez validálást az azokkal folytatott műveletek elvégzését megelőzően. Az Ars Technica által megszólaltatott biztonsági szakértők szerint a biztonsági rés hasonlít a három évvel ezelőtt felbukkant Dirty Cow-ra, amely ugyancsak jogosultságemelkedést tett lehetővé - továbbá akárcsak a Dirty Cow, a most felfedezett sérülékenység is a kernel kódjában található, így minden androidos eszközre veszélyt jelent.

andrmalw

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Noha a sebezhetőség nem teszi lehetővé a telefonokra való bejutást, amennyiben azt más úton sikerül véghez vinnie a támadóknak, az új biztonsági rés birtokában akár teljes kontrollt is szerezhetnek a megcélzott készülékek fölött. Az androidos eszközökre pedig ma már nem csak a harmadik féltől származó alkalmazásboltokban található szoftverek jelentenek fenyegetést, a Play Store-ban is rendszeresen felbukkannak rosszindulatú alkalmazások - néhány napja egy 100 milliós letöltésszámot produkáló appba csempésztek malware-t támadók. A hasonló, a Play Store védvonalain átcsúszó kártevőket az új hiba birtokában sokkal komolyabb fegyvertárral szerelhetik fel azok fejlesztői, noha arról egyelőre nem beszéltek a szakértők, találtak-e már a sebezhetőség aktív kihasználására utaló nyomot.

A Trend Micro a hiba felfedezését követően, még idén március közepén értesítette arról a Google-t, a keresőóriás pedig június végéig ígért ahhoz javítást. Azonban mikor a biztonsági szakértők augusztusban rákérdeztek a patch állapotára, a cég arról beszélt, ezzel kapcsolatban nem tervez további frissítéseket kiadni - azóta pedig az Android szeptemberi menetrendszerű javításcsomagja is megérkezett, amely mintegy fél évvel az első bejelentést követően még mindig nem orvosolja a sebezhetőséget. Aggasztó, hogy a Google továbbra sem nyilatkozik a hiba kapcsán, amely patch hiányában rengeteg felhasználóra veszélyt jelent, a Trend Micro szerint a legújabb verziókat futtató eszközök tulajdonosait is beleértve.

a címlapról