Android 安全公告 - 2016-03-18

发布时间:2016 年 3 月 18 日

Android 安全建议是对 Nexus 安全公告的补充。如需详细了解安全建议,请参阅我们的摘要页面

摘要

Google 注意到,某个获取 root 权限的应用会利用部分 Android 设备的内核中某个未被补丁修复的本地提权漏洞 (CVE-2015-1805)。只有用户在设备上安装该应用后,设备才会受到该应用的影响。Google 已通过验证应用功能阻止用户在 Google Play 内外安装会利用该漏洞的获取 root 权限的应用。此外,Google 还更新了系统,以便检测会利用这一特定漏洞的应用。

为了针对该问题提供最后一道防护屏障,我们已在 2016 年 3 月 16 日向合作伙伴提供了用于修复该问题的补丁。我们正在准备 Nexus 更新版本,近日就会发布。此外,我们还在 Android 开源项目 (AOSP) 代码库中发布了针对该问题的源代码补丁。

背景

该问题是上游 Linux 内核中的已知问题,已于 2014 年 4 月得到修复,但直到 2015 年 2 月 2 日才被列为安全修复并获派编号 CVE-2015-1805。2016 年 2 月 19 日,C0RE 团队向 Google 发出通知,指出有心人士可能会在 Android 设备上利用这个问题。该团队开发的补丁会收录到即将发布的每月定期更新中。

2016 年 3 月 15 日,Google 收到了 Zimperium 的报告,称有人在 Nexus 5 设备上滥用这个漏洞。Google 已确认,有一款公开发行的获取 root 权限的应用通过在 Nexus 5 和 Nexus 6 上滥用该漏洞来为设备用户提供 root 权限。

由于该问题可能会让有心人士获取本地特权并执行任意代码,从而导致本地设备永久损坏,因此我们将该问题的严重程度评为“严重”

范围

该安全建议适用于所有内核版本为 3.4、3.10 和 3.14 且未安装补丁的 Android 设备(包括所有 Nexus 设备)。Linux 内核版本为 3.18 或更高版本的 Android 设备不会受到影响。

缓解措施

下列缓解措施有助于降低用户受该问题影响的可能性:

  • “验证应用”功能已进行了更新,能够阻止用户在 Google Play 内外安装会试图利用该漏洞的已知应用。
  • Google Play 禁止获取 root 权限的应用(例如会试图利用该问题的应用)上架。
  • Linux 内核版本为 3.18 或更高版本的 Android 设备不会受到影响。

致谢

Android 衷心感谢 C0RE 团队Zimperium 对这份安全建议做出的贡献。

建议操作

Android 建议所有用户在有设备软件更新时,进行相应更新。

修复程序

Google 已针对多个内核版本在 AOSP 代码库中发布修复程序。 我们已向 Android 合作伙伴发出相关修复程序的通知,并建议他们采用。如需进一步更新,Android 会直接将更新内容发布到 AOSP。

内核版本 补丁
3.4 AOSP 补丁
3.10 AOSP 补丁
3.14 AOSP 补丁
3.18+ 公开 Linux 内核已打了补丁

常见问题和解答

1. 具体问题是什么?

内核中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞有可能会造成本地设备永久损坏,而您可能需要通过重写操作系统来修复设备,因此我们将其严重程度评为“严重”。

2. 攻击者会如何利用该问题?

用户若安装试图利用该问题的应用,则会面临风险。Google Play 已禁止获取 root 权限的应用(例如会利用该问题的应用)上架。此外,Google 还会通过“验证应用”功能阻止用户在 Google Play 外部安装此类应用。这样一来,攻击者就必须设法说服用户手动安装相关应用。

3. 哪些设备会受到影响?

Google 已确认该漏洞会影响 Nexus 5 和 Nexus 6;不过,所有未安装补丁的 Android 版本都可能会受到该漏洞的影响。

4. Google 是否已发现该漏洞遭到滥用的证据?

是的,Google 已发现相关证据,可以证实有人通过公开发布的获取 root 权限的工具在 Nexus 5 上滥用该漏洞。不过,Google 尚未发现可归类为“恶意”的利用行为。

5. Google 会如何解决该问题?

Google Play 会禁止试图利用该问题的应用上架。与此同时,我们还会通过“验证应用”功能阻止用户在 Google Play 外部安装会试图利用该问题的应用。另外,只要有可用的更新,Google Nexus 设备就会立即安装补丁;我们也已通知 Android 合作伙伴,以便他们能同时发布类似更新。

6. 如何确认我的设备是否已安装该问题的修复程序?

Android 已向合作伙伴提供两种方法,以便他们告知用户其设备是否受此问题的影响。安全补丁级别为 2016 年 3 月 18 日的 Android 设备不会受到影响。安全补丁级别为 2016 年 4 月 2 日(或之后的日期)的 Android 设备也不会受到该问题的影响。请参阅这篇文章中提供的相关说明,了解如何检查安全补丁级别。

修订版本

  • 2016 年 3 月 18 日:发布了安全建议。