Fél éve nem javít a Google egy androidos zero-day sebezhetőséget
A hiba emelkedett jogosultságokat adhat a támadóknak, igaz csak ha korábban bejutottak a telefonra. A Google korábbi ígéretével ellentétben a szeptemberi androidos javítócsomagban sem orvosolta a sérülékenységet.
Súlyos androidos zero-day sebezhetőséget fedeztek fel a Trend Micro biztonsági szakértői, amellyel emelkedett jogosultságok szerezhetők az olyan készülékeken, amelyekre korábban már sikerült bejutni a támadóknak.
A sérülékenység kihasználásához tehát már szükség van bizonyos szintű hozzáférésre az eszközön, a kutatók szerint ugyanakkor elég, ha a támadó alacsony jogosultságú kódot tud azon futtatni. A hiba a valós idejű videórögzítés során használt V4L2 driverben gyökerezik, amely bizonyos objektumoknál nem végez validálást az azokkal folytatott műveletek elvégzését megelőzően. Az Ars Technica által megszólaltatott biztonsági szakértők szerint a biztonsági rés hasonlít a három évvel ezelőtt felbukkant Dirty Cow-ra, amely ugyancsak jogosultságemelkedést tett lehetővé - továbbá akárcsak a Dirty Cow, a most felfedezett sérülékenység is a kernel kódjában található, így minden androidos eszközre veszélyt jelent.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Noha a sebezhetőség nem teszi lehetővé a telefonokra való bejutást, amennyiben azt más úton sikerül véghez vinnie a támadóknak, az új biztonsági rés birtokában akár teljes kontrollt is szerezhetnek a megcélzott készülékek fölött. Az androidos eszközökre pedig ma már nem csak a harmadik féltől származó alkalmazásboltokban található szoftverek jelentenek fenyegetést, a Play Store-ban is rendszeresen felbukkannak rosszindulatú alkalmazások - néhány napja egy 100 milliós letöltésszámot produkáló appba csempésztek malware-t támadók. A hasonló, a Play Store védvonalain átcsúszó kártevőket az új hiba birtokában sokkal komolyabb fegyvertárral szerelhetik fel azok fejlesztői, noha arról egyelőre nem beszéltek a szakértők, találtak-e már a sebezhetőség aktív kihasználására utaló nyomot.
A Trend Micro a hiba felfedezését követően, még idén március közepén értesítette arról a Google-t, a keresőóriás pedig június végéig ígért ahhoz javítást. Azonban mikor a biztonsági szakértők augusztusban rákérdeztek a patch állapotára, a cég arról beszélt, ezzel kapcsolatban nem tervez további frissítéseket kiadni - azóta pedig az Android szeptemberi menetrendszerű javításcsomagja is megérkezett, amely mintegy fél évvel az első bejelentést követően még mindig nem orvosolja a sebezhetőséget. Aggasztó, hogy a Google továbbra sem nyilatkozik a hiba kapcsán, amely patch hiányában rengeteg felhasználóra veszélyt jelent, a Trend Micro szerint a legújabb verziókat futtató eszközök tulajdonosait is beleértve.