Een nieuwe zero-day kwetsbaarheid is ontdekt in Android. Als uitgebuit, de zwakke plek zou een lokale aanvaller geven tot hogere privileges op de besmette apparaat. Volgens Zero Day Initiative onderzoekers TrendMicro's Lance Jiang en Moony Li, de fout is gelegen binnen de V4L2 bestuurder (Video4Linux 2) in Android.
Zeer kritisch zero-day beveiligingslek in Android
wanneer uitgebuit, Deze component maakt het bestaan van een object te valideren voor het uitvoeren van bewerkingen op hetzelfde object. Een lokale aanvaller kan het beveiligingslek voor privilege escalatie in de kernel te exploiteren. tenslotte, dit kan de aanvaller volledige toegang en controle over de Android-toestel te kennen. Dit maakt de kwetsbaarheid zeer ernstige, vooral wanneer het wordt openbaar gemaakt zonder een patch.
De kwetsbaarheid werd voor het eerst naar Google maart 13, 2019. Op woensdag, de gecoördineerde adviesorgaan werd vrijgegeven aan het publiek. Opgemerkt dient te worden dat wanneer het bedrijf voor het eerst werd benaderd door ZDI, bevestigde de kwestie en zei dat het kon niet worden hersteld, maar zonder te verduidelijken wanneer een patch kan worden vrijgegeven.
“Gezien de aard van de kwetsbaarheid, de enige opvallende mitigatie strategie is om de interactie te beperken met de service. Alleen de clients en servers die een legitieme procedurele relatie met de dienst hebben, moeten worden toegestaan om te communiceren met haar,” het adviesorgaan zei.
Het beveiligingslek wordt tegelijk openbaar gemaakt toen Google haar september Android Security Bulletin vrijgegeven. Het bulletin richt zich op twee cruciale uitvoering van externe code bugs in de media kader. De zero-day betrokken, echter, wordt afzonderlijk vermeld en is geen onderdeel van het bulletin.
Het is merkwaardig om op te merken dat een paar dagen geleden Zerodium bijgewerkt de prijslijst en biedt momenteel groter premies voor Android kwetsbaarheden. Dit gebeurt voor de eerste keer ooit, zoals iOS gebreken altijd aan de top van de lijst mobiele exploits zijn geweest. Vanaf nu, een Android zero-click exploit keten die vereist geen interactie van de gebruiker onderzoekers kon krijgen een uitbetaling van maximaal $2.5 miljoen, terwijl dezelfde benutten keten IOS schatting $2 miljoen.