HWSW

Fél éve nem javít a Google egy androidos zero-day sebezhetőséget

A hiba emelkedett jogosultságokat adhat a támadóknak, igaz csak ha korábban bejutottak a telefonra. A Google korábbi ígéretével ellentétben a szeptemberi androidos javítócsomagban sem orvosolta a sérülékenységet.

Súlyos androidos zero-day sebezhetőséget fedeztek fel [1]a Trend Micro biztonsági szakértői, amellyel emelkedett jogosultságok szerezhetők az olyan készülékeken, amelyekre korábban már sikerült bejutni a támadóknak.

A sérülékenység kihasználásához tehát már szükség van bizonyos szintű hozzáférésre az eszközön, a kutatók szerint ugyanakkor elég, ha a támadó alacsony jogosultságú kódot tud azon futtatni. A hiba a valós idejű videórögzítés során használt V4L2 driverben gyökerezik, amely bizonyos objektumoknál nem végez validálást az azokkal folytatott műveletek elvégzését megelőzően. Az Ars Technica által megszólaltatott [2]biztonsági szakértők szerint a biztonsági rés hasonlít a három évvel ezelőtt felbukkant Dirty Cow-ra, amely ugyancsak jogosultságemelkedést tett lehetővé - továbbá akárcsak a Dirty Cow, a most felfedezett sérülékenység is a kernel kódjában található, így minden androidos eszközre veszélyt jelent.

andrmalw

xNoha a sebezhetőség nem teszi lehetővé a telefonokra való bejutást, amennyiben azt más úton sikerül véghez vinnie a támadóknak, az új biztonsági rés birtokában akár teljes kontrollt is szerezhetnek a megcélzott készülékek fölött. Az androidos eszközökre pedig ma már nem csak a harmadik féltől származó alkalmazásboltokban található szoftverek jelentenek fenyegetést, a Play Store-ban is rendszeresen felbukkannak rosszindulatú alkalmazások - néhány napja [3] egy 100 milliós letöltésszámot produkáló appba csempésztek malware-t támadók. A hasonló, a Play Store védvonalain átcsúszó kártevőket az új hiba birtokában sokkal komolyabb fegyvertárral szerelhetik fel azok fejlesztői, noha arról egyelőre nem beszéltek a szakértők, találtak-e már a sebezhetőség aktív kihasználására utaló nyomot.

A Trend Micro a hiba felfedezését követően, még idén március közepén értesítette arról a Google-t, a keresőóriás pedig június végéig ígért ahhoz javítást. Azonban mikor a biztonsági szakértők augusztusban rákérdeztek a patch állapotára, a cég arról beszélt, ezzel kapcsolatban nem tervez további frissítéseket kiadni - azóta pedig az Android szeptemberi menetrendszerű javításcsomagja is megérkezett, amely mintegy fél évvel az első bejelentést követően még mindig nem orvosolja a sebezhetőséget. Aggasztó, hogy a Google továbbra sem nyilatkozik a hiba kapcsán, amely patch hiányában rengeteg felhasználóra veszélyt jelent, a Trend Micro szerint a legújabb verziókat futtató eszközök tulajdonosait is beleértve.

A cikkben hivatkozott linkek:
[1] https://www.zerodayinitiative.com/advisories/ZDI-19-780/
[2] https://arstechnica.com/information-technology/2019/09/android-zeroday-gives-hackers-a-way-to-elevate-attacks/
[3] https://www.hwsw.hu/hirek/60734/google-play-store-malware-camscanner-biztonsag.html
A cikk adatai:
//www.hwsw.hu/hirek/60772/android-zero-day-sebezhetoseg-biztonsag-google.html
Író: Hlács Ferenc (feradyr@gmail.com)
Dátum: 2019. szeptember 06. 13:00
Rovat: vállalati it