Sei in possesso di un dispositivo Android nelle vostre mani? Forse si sta leggendo questo articolo sul tuo telefono Android? Android sembra essere il sistema operativo mobile più popolare. Infatti, nel secondo trimestre 2018, 88 per cento di tutti gli smartphone venduti agli utenti finali sono stati i telefoni con sistema operativo Android, secondo Statista.
C'è un difetto senza patch in Android, ed è attivamente sfruttata
Così, Newsletter di una seria vulnerabilità in Android, per non parlare di un problema senza patch, deve essere trattato come un avviso di pericolo. Secondo quanto riferito, aggressori sono state sfruttando tale vulnerabilità senza patch, e usarlo per prendere il controllo dei dispositivi compromessi, e, infine, di abbandonare lo spyware.
I proprietari di Huawei, Xiaomi, Samsung, LG e Google i telefoni sono interessati da questo difetto. Ma di cosa si tratta esattamente?
La vulnerabilità senza patch è descritta come una condizione di memoria use-after-free nel componente Raccoglitore Android, che può portare a escalation di privilegi. Infatti, il problema è stato patchato in Linux 4.14 kernel LTS, Android Open Source Project (AOSP) 3.18 nocciolo, AOSP 4.4 kernel e AOSP 4.9 kernel nel mese di dicembre 2017 senza ricevere un identificatore CVE. Allora, perché è ancora considerato senza patch, se era indirizzato due anni passano?
La ragione è che AOSP (Progetto Android Open Source) si prende cura del codice Android di riferimento, ma i produttori di dispositivi individuali, come Google, non implementare direttamente. Questi produttori mantengono alberi firmware distinti per i loro dispositivi, che spesso eseguire diverse versioni del kernel. In altre parole, ogni volta che una vulnerabilità viene risolto in AOSP, i produttori devono importare la patch e applicarla al loro codice firmware personalizzato. Il problema è che questo processo non è stato fatto per questo particolare problema, lasciando la patch di vulnerabilità.
Ecco un elenco dei dispositivi vulnerabili, secondo un report da Google Project Zero ricercatore Maddie Pietra:
1) Pixel 2 con Android 9 e Android 10 anteprima
2) Huawei P20
3) Xiaomi redmi 5A
4) Xiaomi redmi Nota 5
5) Xiaomi A1
6) Oppo A3
7) Moto Z3
8) telefoni LG Oreo (eseguire stesso kernel secondo il sito web)
9) Samsung S7, S8, S9
E 'importante notare, tuttavia, che i dispositivi elencati potrebbero non gli unici colpiti, come “la maggior parte dei dispositivi Android pre-caduta 2018 sono interessati”, secondo Pietra.
Come può questo difetto Android senza patch essere sfruttata
Essendo una vulnerabilità di scalata di privilegi, esso può essere sfruttato da un'applicazione dannosa per ottenere i privilegi di root, il che significa poco controllo completo del dispositivo. La vulnerabilità consente una fuga dalla sandbox dell'applicazione, che è fondamentale per la sicurezza di Android. Inoltre, se il difetto è incatenato con un renderer del browser exploit, esso può essere preso di mira dal Web, come la falla può essere sfruttata attraverso la sandbox del browser.
Quel che è peggio è che i ricercatori hanno dimostrato che il bug è stato sfruttato in natura:
Abbiamo le prove che questo bug è in uso nel selvaggio. Pertanto, questo bug è soggetto ad una 7 termine ultimo giorno divulgazione. Dopo 7 giorni passano o di una patch è stata resa ampiamente disponibili (se anteriore), la segnalazione di bug sarà visibile al pubblico.
La buona notizia è che AOSP ha condiviso i dettagli con i fornitori interessati, e la patch è disponibile per l'attuazione. Dipende da ogni fornitore quando il patch è fatto, e aggiornato per dispositivi interessati vengono rilasciati. Google, per esempio, dice che la vulnerabilità sarà fissato per Pixel 1 e 2 in aggiornamento di questo mese.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi:
urrà, Sono su Android One e non influenzato.