CYBER NEWS

Unpatched Android coloca Bug Os proprietários de Samsung, Telefones Xiaomi em Risco

Você está segurando um dispositivo Android em suas mãos? Talvez você está lendo este artigo em seu telefone Android? aparece com Android para ser o sistema operacional móvel mais popular,. De fato, no segundo trimestre de 2018, 88 percent of all smartphones sold to end users were phones with the Android operating system, de acordo com Statista.




There’s an unpatched flaw in Android, and it’s actively exploited

assim, any news regarding a serious vulnerability in Android, let alone an unpatched issue, should be treated as a threat alert. Alegadamente, attackers have been exploiting such an unpatched vulnerability, and using it to take control of compromised devices, and eventually to drop spyware.

Os proprietários de Huawei, Xiaomi, Samsung, LG and Google phones are affected by this flaw. But what exactly is it?
The unpatched vulnerability is described as a use-after-free memory condition in the Android Binder component, que pode resultar em escalada de privilégios. De fato, a questão foi corrigida no Linux 4.14 kernel do LTS, Android Open Source Projeto de (AOSP) 3.18 núcleo, AOSP 4.4 kernel e AOSP 4.9 núcleo em dezembro 2017 sem receber um identificador CVE. So why is still considered unpatched, if it was addressed two years go?

The reason is that AOSP (Projeto de Código Aberto Android) cuida da referência de código Android, but individual device manufacturers, como o Google, don’t implement it directly. Estes fabricantes manter árvores de firmware separados para seus dispositivos, quais versões do kernel diferentes, muitas vezes executados. Em outras palavras, cada vez que uma vulnerabilidade é fixa em AOSP, fabricantes precisam importar o patch e aplicá-lo ao seu código de firmware personalizado. O problema é que este processo não tem sido feito para esse problema específico, deixando o unpatched vulnerabilidade.

Here’s a list of vulnerable devices, de acordo com a report pelo Google Project Zero pesquisador Maddie Pedra:

1) Pixel 2 with Android 9 e Android 10 preview
2) Huawei P20
3) Xiaomi Redmi 5A
4) Xiaomi Redmi Note 5
5) Xiaomi A1
6) Oppo A3
7) Moto Z3
8) Oreo LG phones (run same kernel according to website)
9) Samsung S7, S8, S9

It is important to note, Contudo, that the listed devices may not the only ones affected, as “most Android devices pre-Fall 2018 are affected”, according to Stone.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/android-apps-harvest-data/”] Android Apps pode colher suas permissões de dados Mesmo que tenha rejeitado

How can this unpatched Android flaw be exploited

Being a privilege escalation vulnerability, it can be leveraged by a malicious application to obtain root privileges, which shortly means full device control. The vulnerability enables an escape from the application sandbox, which is central to the security of Android. além disso, if the flaw is chained with a browser renderer exploit, it can be targeted from the Web, as the flaw can be leveraged through the browser sandbox.

What is worse is that researchers have evidence that the bug is being exploited in the wild:

We have evidence that this bug is being used in the wild. Portanto, this bug is subject to a 7 day disclosure deadline. Depois de 7 days elapse or a patch has been made broadly available (whichever is earlier), the bug report will become visible to the public.

The good news is that AOSP has shared details with the affected vendors, and the patch is available for implementation. It depends on each vendor when the patching is done, and updated for affected devices are released. Google, por exemplo, says that the vulnerability will be fixed for Pixel 1 e 2 in this month’s update.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

1 Comente
  1. AvatarMartin Beltov

    Hooray, I’m on Android One and not affected.

    Resposta

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...