Você está segurando um dispositivo Android em suas mãos? Talvez você está lendo este artigo em seu telefone Android? aparece com Android para ser o sistema operacional móvel mais popular,. De fato, no segundo trimestre de 2018, 88 por cento de todos os smartphones vendidos a usuários finais eram telefones com o sistema operacional Android, de acordo com Statista.
Há uma falha não corrigida no Android, e é explorado ativamente
assim, qualquer notícia sobre uma vulnerabilidade grave no Android, muito menos um problema não corrigido, deve ser tratado como um alerta de ameaça. Alegadamente, invasores têm explorado essa vulnerabilidade não corrigida, e usá-lo para assumir o controle de dispositivos comprometidos, e, eventualmente, para soltar spyware.
Os proprietários de Huawei, Xiaomi, Samsung, Os telefones LG e Google são afetados por esta falha. Mas o que exatamente é isso?
A vulnerabilidade não corrigida é descrita como uma condição de uso após liberação de memória no componente Android Binder, que pode resultar em escalada de privilégios. De fato, a questão foi corrigida no Linux 4.14 kernel do LTS, Android Open Source Projeto de (AOSP) 3.18 núcleo, AOSP 4.4 kernel e AOSP 4.9 núcleo em dezembro 2017 sem receber um identificador CVE. Então, por que ainda é considerado sem patch, se foi abordado dois anos vá?
A razão é que AOSP (Projeto de Código Aberto Android) cuida da referência de código Android, mas fabricantes de dispositivos individuais, como o Google, não implemente diretamente. Estes fabricantes manter árvores de firmware separados para seus dispositivos, quais versões do kernel diferentes, muitas vezes executados. Em outras palavras, cada vez que uma vulnerabilidade é fixa em AOSP, fabricantes precisam importar o patch e aplicá-lo ao seu código de firmware personalizado. O problema é que este processo não tem sido feito para esse problema específico, deixando o unpatched vulnerabilidade.
Aqui está uma lista de dispositivos vulneráveis, de acordo com um relatório pelo Google Project Zero pesquisador Maddie Pedra:
1) Pixel 2 com Android 9 e Android 10 antevisão
2) Huawei P20
3) Xiaomi Redmi 5A
4) Xiaomi Redmi Note 5
5) Xiaomi A1
6) Oppo A3
7) Moto Z3
8) Telefones Oreo LG (execute o mesmo kernel de acordo com o site)
9) Samsung S7, S8, S9
É importante notar, Contudo, que os dispositivos listados podem não ser os únicos afetados, como “a maioria dos dispositivos Android antes do outono 2018 são afetados ”, de acordo com Stone.
Como essa falha não corrigida do Android pode ser explorada
Sendo uma vulnerabilidade de escalonamento de privilégios, pode ser aproveitado por um aplicativo malicioso para obter privilégios de root, o que em breve significa controle total do dispositivo. A vulnerabilidade permite escapar da caixa de proteção do aplicativo, que é fundamental para a segurança do Android. além disso, se a falha estiver ligada a uma exploração de renderizador de navegador, pode ser direcionado a partir da web, já que a falha pode ser aproveitada por meio da sandbox do navegador.
O que é pior é que os pesquisadores têm evidências de que o bug está sendo explorado na natureza:
Temos evidências de que esse bug está sendo usado na natureza. Portanto, este bug está sujeito a um 7 prazo de divulgação do dia. Depois de 7 dias se passaram ou um patch foi amplamente disponibilizado (qual for mais cedo), o relatório do bug ficará visível para o público.
A boa notícia é que o AOSP compartilhou detalhes com os fornecedores afetados, e o patch está disponível para implementação. Depende de cada fornecedor quando o patch é feito, e atualizados para dispositivos afetados são lançados. Google, por exemplo, diz que a vulnerabilidade será corrigida para Pixel 1 e 2 na atualização deste mês.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga:
Hooray, Estou no Android One e não fui afetado.