Uma nova vulnerabilidade zero-day foi descoberto em Android. Se explorada, A falha pode dar um invasor local escalado privilégios no dispositivo comprometida. De acordo com pesquisadores Zero Day Initiative da TrendMicro Lance Jiang e Moony Li, a falha está localizada no driver v4l2 (Video4Linux 2) no Android.
Vulnerabilidade de dia zero altamente crítica no Android
Quando explorado, este componente não valida a existência de um objeto antes de realizar operações no mesmo objeto. Um invasor local pode explorar a vulnerabilidade para escalonamento de privilégios no kernel. afinal, isso pode conceder ao invasor acesso e controle total sobre o dispositivo Android. Isso torna a vulnerabilidade altamente severa, especialmente quando está sendo divulgado publicamente sem um patch.
A vulnerabilidade foi relatada pela primeira vez ao Google em março 13, 2019. Na quarta-feira, a assessoria coordenada foi divulgada ao público. Deve-se observar que quando a empresa foi contatada pela primeira vez pela ZDI, confirmou o problema e disse que poderia ser corrigido, mas sem esclarecer quando um patch pode ser lançado.
“Dada a natureza da vulnerabilidade, a única estratégia de mitigação saliente é restringir a interação com o serviço. Apenas os clientes e servidores que têm uma relação processual legítima com o serviço devem ter permissão para se comunicar com ele,” o consultor disse.
A vulnerabilidade se tornou pública ao mesmo tempo que o Google lançou seu Boletim de Segurança do Android de setembro. O boletim aborda dois bugs críticos de execução remota de código na estrutura de mídia. O dia zero em questão, Contudo, é divulgado separadamente e não faz parte do boletim.
É curioso notar que, há alguns dias, o Zerodium atualizou sua lista de preços e atualmente está oferecendo recompensas maiores para vulnerabilidades do Android. Isso acontece pela primeira vez na vida, já que as falhas do iOS sempre estiveram no topo da lista de exploits móveis. A partir de agora, uma cadeia de exploração de zero clique do Android que não requer interação do usuário poderia levar os pesquisadores um pagamento de até $2.5 milhão, enquanto a mesma cadeia de exploit no iOS é estimada em $2 milhão.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: