[Update: Patched] Vulnerabilidade de dia zero explorada ativamente encontrada no Google Pixel, Huawei, Xiaomi, Samsung e outros dispositivos

Atualização 10/10/19 @ 3:05 AM ET: A vulnerabilidade do Android de dia zero foi corrigida com o patch de segurança de 6 de outubro de 2019. Role para baixo para obter mais informações. O artigo publicado em 6 de outubro de 2019 é preservado como abaixo.

A segurança tem sido uma das principais prioridades nas atualizações recentes do Android, com melhorias e alterações na criptografia, permissões e manipulação relacionada à privacidade, sendo alguns dos principais recursos. Outras iniciativas, como o Project Mainline para Android 10, visam acelerar as atualizações de segurança para tornar os dispositivos Android mais seguros. O Google também foi diligente e pontual com os patches de segurança e, embora esses esforços sejam louváveis ​​por si só, sempre haverá espaço para explorações e vulnerabilidades em um sistema operacional como o Android. Acontece que os atacantes foram encontrados explorando ativamente uma vulnerabilidade de dia zero no Android, que lhes permite assumir o controle total de determinados telefones do Google, Huawei, Xiaomi, Samsung e outros.

A equipe do Project Zero do Google revelou informações sobre uma exploração Android de dia zero, cujo uso ativo está sendo atribuído ao grupo NSO, embora representantes da NSO tenham negado o uso do mesmo à ArsTechnica . Essa exploração é uma escalação de privilégios do kernel que usa uma vulnerabilidade de uso após liberação, permitindo que o invasor comprometa totalmente um dispositivo vulnerável e o faça root. Como a exploração também pode ser acessada na caixa de proteção do Chrome, ela também pode ser entregue pela Web, quando combinada com uma exploração que visa uma vulnerabilidade no código do Chrome usado para renderizar o conteúdo.

Em linguagem mais simples, um invasor pode instalar um aplicativo mal-intencionado nos dispositivos afetados e obter raiz sem o conhecimento do usuário e, como todos sabemos, o caminho se abre completamente depois disso. E como pode ser encadeado com outra exploração no navegador Chrome, o invasor também pode entregar o aplicativo mal-intencionado pelo navegador da Web, eliminando a necessidade de acesso físico ao dispositivo. Se isso lhe parece sério, é porque certamente é - a vulnerabilidade foi classificada como "Alta Gravidade" no Android. O que é pior, essa exploração requer pouca ou nenhuma personalização por dispositivo, e os pesquisadores do Projeto Zero também têm provas de que a exploração está sendo usada na natureza.

Aparentemente, a vulnerabilidade foi corrigida em dezembro de 2017 na versão Linux Kernel 4.14 LTS, mas sem um CVE de rastreamento. A correção foi incorporada às versões 3.18, 4.4 e 4.9 do kernel do Android. No entanto, a correção não chegou às atualizações de segurança do Android, deixando vários dispositivos vulneráveis ​​a essa falha que agora está sendo rastreada como CVE-2019-2215.

A lista "não exaustiva" de dispositivos que foram afetados é a seguinte:

  • Google Pixel
  • Google Pixel XL
  • Google Pixel 2
  • Google Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi Mi A1
  • Oppo A3
  • Moto Z3
  • Telefones LG no Android Oreo
  • Samsung Galaxy S7
  • Samsung Galaxy S8
  • Samsung Galaxy S9

No entanto, como mencionado, esta não é uma lista exaustiva, o que significa que vários outros dispositivos também provavelmente foram afetados por essa vulnerabilidade, apesar de as atualizações de segurança do Android serem tão novas quanto a de setembro de 2019. O Google Pixel 3 e Pixel 3 XL e Google Pixel 3a e Pixel 3a XL são considerados seguros contra essa vulnerabilidade. Os dispositivos Pixel afetados terão a vulnerabilidade corrigida na próxima atualização de segurança do Android de outubro de 2019, que deve ser lançada em um dia ou dois. Um patch foi disponibilizado aos parceiros do Android "para garantir que o ecossistema do Android esteja protegido contra o problema", mas, vendo o quão descuidados e indiferentes certos OEMs são quanto a atualizações, não poderíamos segurar a respiração ao receber a correção em tempo hábil. maneira.

A equipe de pesquisa do Project Zero compartilhou uma exploração local de prova de conceito para demonstrar como esse bug pode ser usado para obter leitura / gravação arbitrária do kernel ao executar localmente.

A equipe de pesquisa do Project Zero prometeu fornecer uma explicação mais detalhada do bug e a metodologia para identificá-lo em um post futuro. A ArsTechnica é de opinião que há chances extremamente pequenas de serem exploradas por ataques tão caros e direcionados quanto esse; e que os usuários ainda devem adiar a instalação de aplicativos não essenciais e usar um navegador que não seja o Chrome até que o patch seja instalado. Em nossa opinião, acrescentaríamos que seria prudente procurar o patch de segurança de outubro de 2019 para o seu dispositivo e instalá-lo o mais rápido possível.

Fonte: Projeto Zero

História Via: ArsTechnica


Atualização: a vulnerabilidade do Android de dia zero foi corrigida com a atualização de segurança de outubro de 2019

O CVE-2019-2215, relacionado à vulnerabilidade de escalonamento de privilégios do kernel acima mencionada, foi corrigido com o patch de segurança de outubro de 2019, especificamente com o nível de patch de segurança 2019-10-06, conforme prometido. Se uma atualização de segurança estiver disponível para o seu dispositivo, é altamente recomendável instalá-la o mais rápido possível.

Fonte: Boletim de Segurança do Android

Via: Twitter: @maddiestone