Уразливість, виправлена в попередніх версіях на Android з початку минулого року, повернувся на поверхню, тому що нещодавно сМи виявили, що зловмисники активно експлуатували уразливість нульового дня на Android це дозволяє повністю контролювати різні моделі телефонів, включаючи 4 моделі Google Pixel, Huawei, пристрої Xiaomi, Samsung та інші, сказав член дослідницької групи проектів Google Zero.
Вразливість було оцінено як "суворий" на Android Гірше того, що експлойт майже не вимагає ніяких налаштувань, щоб повністю вкорінити вразливі телефони. Повідомлення дослідницької групи Google припускає, що помилку, виявлену минулого тижня, активно використовували або група NSO, або один із її клієнтів.
Однак представники групи не покладали жодної відповідальності шляхом використання помилки. NSO Group - розробник шпигунських програм та програм, що продають різні урядові структури.
У електронному листі представники NSO Group написали після розголошення подвигу:
“НСО не продавав і ніколи не продаватиме експлойти чи вразливі місця. Цей подвиг не має нічого спільного з НСО; наша робота зосереджена на розробці продуктів, спрямованих на те, щоб допомогти спецслужбам та правоохоронним органам рятувати життя ".
Група, що базується в Ізраїлі та спеціалізується на технічній допомозі урядам у шпигунстві мобільних терміналів та розробці «цифрової зброї», була проілюстрована як така під час відкриття в 2016 та 2017 роках дослідниками з лабораторії громадянина університету з Торонто, передового мобільного шпигунського програмного забезпечення, яке він розробив і охрестив «Пегас».
Google також старанно та своєчасно використовував виправлення безпеки (Ще минулого місяця Google випустив виправлення безпеки для телефонів Google Pixel та багатьох інших телефонів.) Але все це не завадило появі нових вразливостей в Android.
Цей експлойт - ескалація привілеїв ядра за допомогою вразливості, яка дозволяє зловмисникові повністю скомпрометувати вразливий пристрій і викорінити його. Оскільки до експлоїту також можна отримати доступ із пісочниці Chrome, його також можна доставити через Інтернет, коли він поєднується з експлоїтом, націленим на вразливість у коді Chrome, яка використовується для візуалізації вмісту.
Ця вразливість вважається, що це виправлено на початку 2018 року в Linux Kernel LTS версії 4.14 але відсутність відстеження CVE. Виправлення було включено у версії ядра Android 3.18, 4.4 та 4.9. Однак рішення не дійшло до наступних оновлень безпеки Android, що залишило кілька пристроїв уразливими до цієї вади, яка зараз відстежується як CVE-2019-2215.
Медді Стоун, член Project Zero, зазначила у своєму повідомленні, що "помилка є вразливістю, яка збільшує місцеві привілеї та дозволяє повністю компрометувати вразливий пристрій".
Я маю на увазі, зловмисник може встановити шкідливий додаток на уражені пристрої та дістатись до кореня без відома користувача, тож ви можете мати повний контроль над пристроєм. Оскільки його можна поєднати з іншим експлойтом у браузері Chrome, зловмисник може також доставити шкідливий додаток через веб-браузер, усуваючи необхідність фізичного доступу до пристрою.
"Неповний" список пристроїв, який дослідницька група Google опублікувала як такі, що зазнали впливу:
- піксель 1
- Піксель 1 XL
- піксель 2
- Піксель 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Примітка 5
- Xiaomi A1
- OPPO A3
- Мото Z3
- Телефони LG
- Samsung S7
- Samsung S8
- Samsung S9
Дослідницька група Project Zero поділилася місцевим доказом використання концепції, щоб продемонструвати, як цю помилку можна використовувати для довільного читання / запису ядра під час локального виконання.
Однак інший член команди Zero Project від Google заявив, що вразливість вже буде виправлена в жовтневому оновленні системи Android, яке, ймовірно, стане доступним у найближчі кілька днів.