Een kwetsbaarheid die in eerdere versies op Android is verholpen sinds begin vorig jaar, is weer boven water gekomen, omdat onlangs sHij ontdekte dat aanvallers actief misbruik maakten van een zero-day-kwetsbaarheid op Android dat stelt u in staat om de volledige controle te krijgen over verschillende telefoonmodellen, waaronder 4 modellen Google Pixel, Huawei, Xiaomi-apparaten, Samsung en anderen, zei een lid van de Google Zero Project Research Group.
Kwetsbaarheid is beoordeeld als "zeer ernstig" op Android Wat erger is, de exploit vereist weinig tot geen aanpassingen om kwetsbare telefoons volledig te rooten. Een bericht van de onderzoeksgroep van Google suggereerde dat de bug, die vorige week werd ontdekt, actief werd uitgebuit, hetzij door de NSO Group, hetzij door een van zijn klanten.
De vertegenwoordigers van de groep weigerden echter elke verantwoordelijkheid door misbruik van de fout. NSO Group is een exploit- en spyware-ontwikkelaar die aan verschillende overheidsinstanties verkoopt.
In een e-mail schreven vertegenwoordigers van de NSO Group na de bekendmaking van de exploit:
“NSO heeft niet verkocht en zal nooit exploits of kwetsbaarheden verkopen. Deze prestatie heeft niets te maken met NSO; ons werk is gericht op de ontwikkeling van producten die zijn ontworpen om inlichtingendiensten en wetshandhavingsinstanties te helpen levens te redden ”.
De groep, gevestigd in Israël en gespecialiseerd in technische bijstand aan regeringen voor de spionage van mobiele terminals en de ontwikkeling van «digitale wapens», werd als zodanig geïllustreerd met de ontdekking in 2016 en 2017 door onderzoekers van het Citizen Lab van de universiteit. uit Toronto, een geavanceerde mobiele spionagesoftware die hij ontwikkelde en die hij Pegasus noemde.
Google is ook ijverig en actueel geweest met beveiligingspatches (Vorige maand heeft Google beveiligingspatches uitgebracht voor Google Pixel-telefoons en voor veel andere telefoons.) Maar dit alles kon nieuwe kwetsbaarheden in Android niet voorkomen.
Deze exploit is een escalatie van kernelrechten met behulp van een kwetsbaarheid, die stelt de aanvaller in staat om een kwetsbaar apparaat volledig in gevaar te brengen en te rooten Omdat de exploit ook toegankelijk is vanuit de Chrome-sandbox, kan deze ook via internet worden geleverd zodra deze is gecombineerd met een exploit die zich richt op een kwetsbaarheid in de Chrome-code die wordt gebruikt om inhoud weer te geven.
Deze kwetsbaarheid vermoedelijk opgelost begin 2018 in Linux Kernel LTS versie 4.14 maar geen CVE-tracking. De oplossing is opgenomen in Android-kernelversies 3.18, 4.4 en 4.9. De oplossing bereikte de Android-beveiligingsupdates die volgden echter niet, waardoor verschillende apparaten kwetsbaar waren voor deze fout, die nu wordt gevolgd als CVE-2019-2215.
Maddie Stone, een lid van Project Zero, zei in een bericht dat "de bug een kwetsbaarheid is die lokale privileges vergroot en een volledig compromis van een kwetsbaar apparaat mogelijk maakt."
Dat wil zeggen, een aanvaller kan een kwaadaardige applicatie op de getroffen apparaten installeren en de root bereiken zonder medeweten van de gebruiker, zodat u de volledige controle over het apparaat heeft. En aangezien het kan worden gecombineerd met een andere exploit in de Chrome-browser, kan de aanvaller de kwaadaardige applicatie ook via de webbrowser bezorgen, waardoor fysieke toegang tot het apparaat niet nodig is.
De "niet-volledige" lijst met apparaten die de Google-onderzoeksgroep heeft gepubliceerd als betrokken apparaten is:
- pixel 1
- Pixel 1 XL
- pixel 2
- Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi A1
- oppo A3
- Moto Z3
- LG-telefoons
- Samsung S7
- Samsung S8
- Samsung S9
Het onderzoeksteam van Project Zero deelde een lokale proof of concept-exploit om te demonstreren hoe deze bug kan worden gebruikt om willekeurige kernels te laten lezen / schrijven tijdens lokale uitvoering.
Een ander lid van het Zero Project-team van Google zei echter dat de kwetsbaarheid al zal worden verholpen in de Android-beveiligingsupdate van oktober, die waarschijnlijk in de komende dagen beschikbaar zal zijn.