Tenez-vous un appareil Android dans vos mains? Peut-être que vous lisez cet article sur votre téléphone Android? Android semble être le plus populaire système d'exploitation mobile. En fait, au cours du deuxième trimestre de 2018, 88 pour cent de tous les smartphones vendus aux utilisateurs finaux étaient des téléphones avec le système d'exploitation Android, selon Statista.
Il y a une faille non corrigée dans Android, et il est activement exploité
Si, des nouvelles concernant une vulnérabilité sérieuse dans Android, et encore moins un problème non corrigé, devrait être considérée comme une alerte de menace. Aurait, les attaquants ont exploité cette vulnérabilité non corrigée, et l'utiliser pour prendre le contrôle des appareils compromis, et, éventuellement, de laisser tomber les logiciels espions.
Les propriétaires de Huawei, Xiaomi, Samsung, téléphones LG et Google sont concernés par ce défaut. Mais qu'est ce que c'est exactement?
La vulnérabilité non corrigée est décrite comme une condition de mémoire utilisation ultérieure libre dans le composant liant les applications, ce qui peut entraîner une élévation de privilèges. En fait, le problème a été corrigé dans Linux 4.14 noyau LTS, Android Open Source Project de (PSBA) 3.18 noyau, PSBA 4.4 noyau et PSBA 4.9 noyau en Décembre 2017 sans recevoir un identificateur de CVE. Alors, pourquoi est toujours considéré comme non patché, si elle était adressée deux ans vont?
La raison est que PSBA (Projet Android Open Source) prend en charge la référence code Android, mais les fabricants de dispositifs individuels, tel que Google, ne met pas en œuvre directement. Ces fabricants maintiennent arbres firmware séparés pour leurs appareils, qui souvent exécuter différentes versions du noyau. En d'autres termes, chaque fois qu'une vulnérabilité est fixée à PSBA, les fabricants doivent importer le patch et l'appliquer à leur code de firmware personnalisé. Le problème est que ce processus n'a pas été fait pour cette question, laissant la vulnérabilité non corrigée.
Voici une liste des périphériques vulnérables, selon un rapport par le chercheur Google Project Zero Maddie Pierre:
1) pixel 2 avec Android 9 Android 10 Aperçu
2) Huawei P20
3) Xiaomi redmi 5A
4) Xiaomi redmi Remarque 5
5) Xiaomi A1
6) Oppo A3
7) Moto Z3
8) LG téléphones Oreo (exécuter même noyau selon le site)
9) Samsung S7, S8, S9
Il est important de noter, cependant, que les dispositifs énumérés ne peuvent pas les seuls concernés, comme « la plupart des appareils Android pré-automne 2018 sont affectés", selon Pierre.
Comment cette faille non corrigée Android être exploitée
Être une vulnérabilité d'élévation de privilèges, il peut être mis à profit par une application malveillante pour obtenir les privilèges root, ce qui signifie que peu de temps pleine commande de dispositif. La vulnérabilité permet d'échapper à la sandbox de l'application, qui est au cœur de la sécurité d'Android. En outre, si le défaut est enchaînée avec un moteur de rendu navigateur exploiter, il peut être ciblé à partir du Web, comme le défaut peut être mise à profit par le bac à sable du navigateur.
Ce qui est pire est que les chercheurs ont prouvé que le bug est exploitée dans la nature:
Nous avons des preuves que ce bug est utilisé dans la nature. Donc, ce bug est soumis à une 7 date limite de divulgation de jour. Après 7 jours se sont écoulées ou un patch a été fait largement disponible (selon la première éventualité), le rapport de bogue sera visible au public.
Les bonnes nouvelles sont que PSBA a partagé les détails avec les fournisseurs concernés, et le patch est disponible pour la mise en œuvre. Cela dépend de chaque fournisseur lorsque l'application est effectuée, et mis à jour pour les appareils concernés sont libérés. Google, par exemple, dit que la vulnérabilité sera fixée pour Pixel 1 et 2 dans la mise à jour de ce mois-ci.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi:
Hourra, Je suis sur Android et un pas affecté.