:

Szerző: Hlács Ferenc

2019. szeptember 6. 13:00

Fél éve nem javít a Google egy androidos zero-day sebezhetőséget

A hiba emelkedett jogosultságokat adhat a támadóknak, igaz csak ha korábban bejutottak a telefonra. A Google korábbi ígéretével ellentétben a szeptemberi androidos javítócsomagban sem orvosolta a sérülékenységet.

Súlyos androidos zero-day sebezhetőséget fedeztek fel a Trend Micro biztonsági szakértői, amellyel emelkedett jogosultságok szerezhetők az olyan készülékeken, amelyekre korábban már sikerült bejutni a támadóknak.

A sérülékenység kihasználásához tehát már szükség van bizonyos szintű hozzáférésre az eszközön, a kutatók szerint ugyanakkor elég, ha a támadó alacsony jogosultságú kódot tud azon futtatni. A hiba a valós idejű videórögzítés során használt V4L2 driverben gyökerezik, amely bizonyos objektumoknál nem végez validálást az azokkal folytatott műveletek elvégzését megelőzően. Az Ars Technica által megszólaltatott biztonsági szakértők szerint a biztonsági rés hasonlít a három évvel ezelőtt felbukkant Dirty Cow-ra, amely ugyancsak jogosultságemelkedést tett lehetővé - továbbá akárcsak a Dirty Cow, a most felfedezett sérülékenység is a kernel kódjában található, így minden androidos eszközre veszélyt jelent.

andrmalw

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

Noha a sebezhetőség nem teszi lehetővé a telefonokra való bejutást, amennyiben azt más úton sikerül véghez vinnie a támadóknak, az új biztonsági rés birtokában akár teljes kontrollt is szerezhetnek a megcélzott készülékek fölött. Az androidos eszközökre pedig ma már nem csak a harmadik féltől származó alkalmazásboltokban található szoftverek jelentenek fenyegetést, a Play Store-ban is rendszeresen felbukkannak rosszindulatú alkalmazások - néhány napja egy 100 milliós letöltésszámot produkáló appba csempésztek malware-t támadók. A hasonló, a Play Store védvonalain átcsúszó kártevőket az új hiba birtokában sokkal komolyabb fegyvertárral szerelhetik fel azok fejlesztői, noha arról egyelőre nem beszéltek a szakértők, találtak-e már a sebezhetőség aktív kihasználására utaló nyomot.

A Trend Micro a hiba felfedezését követően, még idén március közepén értesítette arról a Google-t, a keresőóriás pedig június végéig ígért ahhoz javítást. Azonban mikor a biztonsági szakértők augusztusban rákérdeztek a patch állapotára, a cég arról beszélt, ezzel kapcsolatban nem tervez további frissítéseket kiadni - azóta pedig az Android szeptemberi menetrendszerű javításcsomagja is megérkezett, amely mintegy fél évvel az első bejelentést követően még mindig nem orvosolja a sebezhetőséget. Aggasztó, hogy a Google továbbra sem nyilatkozik a hiba kapcsán, amely patch hiányában rengeteg felhasználóra veszélyt jelent, a Trend Micro szerint a legújabb verziókat futtató eszközök tulajdonosait is beleértve.

Az üzemeltetői szakmát számos nagyon erős hatás érte az elmúlt években. A történet pedig messze nem csak a cloudról szól, hiszen az on-prem világ is megváltozott.

a címlapról