Bent u met een Android-apparaat in je handen? Misschien bent u het lezen van dit artikel op uw Android-telefoon? Android lijkt de meest populaire mobiele besturingssysteem. In feite, in het tweede kwartaal van 2018, 88 procent van alle smartphones verkocht aan eindgebruikers waren telefoons met het Android-besturingssysteem, volgens statista.
Er is een ongepatchte lek in Android, en het is actief uitgebuit
Dus, nieuws met betrekking tot een ernstige kwetsbaarheid in Android, laat staan een ongepatchte probleem, moeten worden behandeld als een bedreiging alert. Naar verluidt, aanvallers zijn het benutten van een dergelijk ongepatchte kwetsbaarheid, en het te gebruiken om de controle van gecompromitteerde apparaten te nemen, en uiteindelijk om spyware te laten vallen.
Eigenaars van Huawei, Xiaomi, Samsung, LG en Google-telefoons worden beïnvloed door deze fout. Maar wat is het precies?
Werden gepatcht kwetsbaarheid wordt beschreven als gebruik na een vrij geheugen beschikbaar is in de Android bindmiddelcomponent, wat kan leiden tot escalatie van privileges. In feite, de kwestie werd gepatcht in Linux 4.14 LTS kernel, Android Open Source Project (AOSP) 3.18 pit, AOSP 4.4 kernel en AOSP 4.9 kernel in december 2017 zonder daarvoor een CVE identifier. Dus waarom wordt nog steeds beschouwd als ongepatchte, indien zij was gericht twee jaar gaan?
De reden is dat AOSP (Android Open Source Project) verzorgt de referentie code Android, maar individuele fabrikanten van apparatuur, zoals Google, doe het niet direct uit te voeren. Deze fabrikanten onderhouden aparte firmware bomen voor hun apparaten, die lopen vaak verschillende kernelversies. Met andere woorden, elke keer dat een kwetsbaarheid in AOSP vastgesteld, fabrikanten moeten de patch te importeren en toepassen op hun aangepaste firmware code. Het probleem is dat dit proces nog niet is gedaan voor deze specifieke kwestie, het verlaten van de kwetsbaarheid ongepatchte.
Hier is een lijst van kwetsbare apparaten, volgens een verslag door Google Project Zero onderzoeker Maddie Stone:
1) Pixel 2 met Android 9 en Android 10 voorvertoning
2) Huawei P20
3) Xiaomi redmi 5A
4) Xiaomi redmi Note 5
5) Xiaomi A1
6) Oppo A3
7) Moto Z3
8) Oreo LG-telefoons (lopen dezelfde kernel volgens de website)
9) Samsung S7, S8, S9
Het is belangrijk op te merken, echter, dat de genoemde apparaten mogen de enigen die getroffen, als “de meeste Android-apparaten pre-Fall 2018 zijn aangetast", volgens Stone.
Hoe kan dit ongepatchte Android fout worden benut
Omdat het een privilege escalatie kwetsbaarheid, kan worden ingezet door een kwaadaardige toepassing root privileges te verkrijgen, dat kort: volledig regelinrichting. De kwetsbaarheid maakt een ontsnapping uit de toepassingssandbox, dat centraal staat in een continue Android. Bovendien, als de fout is geketend met een browser renderer exploiteren, het kan worden gericht vanaf het web, als de fout kan worden ingezet via de browser zandbak.
Wat erger is, is dat onderzoekers hebben bewijs dat de bug wordt uitgebuit in het wild:
We hebben bewijs dat deze bug wordt gebruikt in het wild. Daarom, Deze bug is onderworpen aan een 7 deadline dag openbaarmaking. Na 7 dagen verstrijkt of een patch is breed beschikbaar gesteld (welke vroeger is), de bug report zijn zichtbaar voor het publiek worden.
Het goede nieuws is dat AOSP heeft gedeeld details met de betrokken leveranciers, en de patch is beschikbaar voor de uitvoering. Het hangt af van elke leverancier, wanneer de patch wordt gedaan, en bijgewerkt voor de getroffen apparaten worden vrijgegeven. Google, bijvoorbeeld, zegt dat de kwetsbaarheid voor Pixel zal worden vastgesteld 1 en 2 in de update van deze maand.
Hoera, Ik ben op Android One en niet beïnvloed.