Una nuova vulnerabilità zero-day è stato scoperto in Android. Se sfruttata, la falla potrebbe dare un attaccante locale escalation di privilegi sul dispositivo compromesso. Secondo i ricercatori Zero Day Initiative di TrendMicro Lance Jiang e Li Moony, il difetto si trova all'interno del driver v4l2 (Video4Linux 2) in Android.
Molto critico vulnerabilità zero-day in Android
quando sfruttati, tale componente non convalida l'esistenza di un oggetto prima di eseguire operazioni sullo stesso oggetto. Un malintenzionato potrebbe sfruttare la vulnerabilità per escalation dei privilegi nel kernel. Infine, questo potrebbe concedere l'attaccante completo accesso e il controllo del dispositivo Android. Questo rende la vulnerabilità altamente grave, soprattutto quando è in fase di divulgato al pubblico senza una patch.
La vulnerabilità è stata riportata a Google marzo 13, 2019. Di mercoledì, l'advisory coordinato è stato rilasciato al pubblico. Va notato che, quando la società è stata prima contattato da ZDI, ha confermato il problema e detto che potrebbe essere fissato, ma senza chiarire quando una patch potrebbe essere rilasciato.
“Data la natura della vulnerabilità, l'unica strategia di mitigazione saliente è quello di limitare l'interazione con il servizio. i client ei server che hanno un rapporto di procedura legittima con il servizio dovrebbe essere consentito solo per comunicare con esso,” la consulenza detta.
La vulnerabilità è reso pubblico nello stesso momento in cui Google ha rilasciato il Security Bulletin settembre Android. Il bollettino risolve due bug critici esecuzione di codice remoto nel quadro dei media. Lo zero-day in questione, tuttavia, divulgare separatamente e non fa parte del bollettino.
E 'curioso notare che un paio di giorni fa Zerodium ha aggiornato il proprio listino prezzi sta attualmente offrendo doni più grandi per le vulnerabilità di Android. Ciò accade per la prima volta, come difetti iOS sono sempre stati in cima alla lista exploit cellulare. Da adesso, un Android zero click exploit catena che non richiede alcuna interazione da parte dell'utente potrebbe ottenere ricercatori una vincita di fino a $2.5 milione, considerando che la stessa catena exploit in IOS è stimato a $2 milione.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: