En ny zero-day sårbarhed er blevet opdaget i Android. Hvis udnyttet, fejlen kunne give en lokal angriber eskalerede privilegier på den kompromitterede enhed. Ifølge TrendMicro Zero Day Initiative forskere Lance Jiang og Moony Li, fejlen ligger inden for v4l2 driveren (Video4Linux 2) i Android.
Meget kritisk Zero-Day Sårbarhed i Android
Når udnyttet, denne komponent validerer ikke eksistensen af et objekt før udførelse operationer på det samme objekt. En lokal angriber kunne udnytte sårbarheden til rettighedsforøgelse i kernen. Til sidst, dette kunne give hackeren fuld adgang til og kontrol over Android-enhed. Dette gør sårbarheden yderst alvorlig, især når det bliver oplyses offentligt uden en patch.
Sårbarheden blev først rapporteret til Google på marts 13, 2019. På onsdag, den koordinerede rådgivende blev frigivet til offentligheden. Det skal bemærkes, at når selskabet først blev kontaktet af ZDI, det bekræftet problemet og sagde, at det kunne fastsættes, men uden at klarlægge når et plaster kunne frigives.
“I betragtning af arten af sårbarheden, den eneste fremtrædende afbødning strategi er at begrænse interaktion med servicen. Kun de klienter og servere, der har en legitim proceduremæssig forhold til tjenesten bør have tilladelse til at kommunikere med det,” det rådgivende sagde.
Sårbarheden offentliggøres på samme tid, når Google frigivet sin meddelelse fra september Android Security Bulletin. Den bulletin adresserer to kritiske fjernkørsel af programkode bugs inden for rammerne medier. Nul-pågældende dag, dog, skal oplyses separat og er ikke en del af bulletin.
Det er underligt at bemærke, at et par dage siden Zerodium opdateret sin prisliste og er i øjeblikket tilbyder større dusører til Android sårbarheder. Dette sker for første gang nogensinde, som iOS mangler altid har været på toppen af den mobile exploits liste. Fra nu, en Android nul-klik udnytte kæde, der ikke kræver brugerinteraktion kunne få forskere en udbetaling på op til $2.5 millioner, det samme udnytte kæde i iOS, anslås til $2 millioner.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: