Une nouvelle vulnérabilité zero-day a été découverte dans Android. Si elle est exploitée, le défaut pourrait donner à un attaquant local des privilèges plus élevés sur l'appareil compromis. Selon les chercheurs Zero Day Initiative de TrendMicro Lance Jiang et Moony Li, le défaut est situé dans le conducteur de v4l2 (Video4Linux 2) dans Android.
Très critique vulnérabilité Zero-Day dans Android
lorsque exploité, cette composante ne valide pas l'existence d'un objet avant d'effectuer des opérations sur le même objet. Un attaquant local pourrait exploiter cette vulnérabilité pour une escalade des privilèges dans le noyau. Finalement, cela pourrait accorder à l'attaquant un accès complet et de contrôle sur l'appareil Android. Cela rend la vulnérabilité très grave, surtout quand elle est divulguée publiquement sans un patch.
La vulnérabilité a été signalé à Google sur Mars 13, 2019. Mercredi, le conseil a été publié coordonné au public. Il convient de noter que lorsque la société a été contacté par ZDI, il a confirmé la question et a dit qu'il pourrait être fixé, mais sans préciser quand un patch pourrait être libéré.
“Compte tenu de la nature de la vulnérabilité, la seule stratégie d'atténuation saillant est de limiter l'interaction avec le service. Seuls les clients et les serveurs qui ont une relation procédure légitime avec le service devraient être autorisés à communiquer avec elle,” le dit consultatif.
La vulnérabilité est rendue publique au moment même où Google a publié son bulletin de sécurité Android Septembre. Le bulletin traite deux bogues d'exécution de code à distance critiques dans le cadre des médias. Le zéro jour en question, cependant, est présentée séparément et ne fait pas partie du bulletin.
Il est curieux de noter que quelques jours il y a Zerodium mis à jour sa liste de prix et offre actuellement plus grandes primes pour les vulnérabilités Android. Cela se produit pour la première fois, comme des défauts iOS ont toujours été au sommet de la liste des exploits mobiles. À partir de maintenant, un zéro clic Android exploite la chaîne qui ne nécessite aucune interaction de l'utilisateur pourrait obtenir des chercheurs un paiement jusqu'à $2.5 million, tandis que la même chaîne exploiter dans iOS est estimé à $2 million.