發布日期:2016 年 3 月 18 日
Android 安全性補充公告為 Nexus 安全性公告的補充內容。如要進一步瞭解安全性補充公告,請參閱摘要網頁。
摘要
Google 發現一個可取得 Root 權限的應用程式,它會惡意運用部分 Android 裝置核心中未修補的本機權限提升漏洞 (CVE-2015-1805)。只有使用者在裝置上安裝這個應用程式時,裝置才會受到影響。Google 已透過驗證應用程式禁止使用者安裝惡意運用這個安全漏洞的 Root 權限獲取應用程式 (無論是否透過 Google Play 安裝),同時也已更新系統,以偵測是否有利用這個漏洞的應用程式。
為針對這個問題提供最終一層防護,我們已在 2016 年 3 月 16 日 向合作夥伴提供專用的修補程式。Nexus 更新目前正在製作中,近日就會發布。這個問題的原始碼修補程式已發布到 Android 開放原始碼計畫 (AOSP) 存放區。
背景
這是 Linux 上游核心中的已知問題,在 2014 年 4 月獲得修正,但直到 2015 年 2 月 2 日才列為安全性修正並獲派編號 CVE-2015-1805。2016 年 2 月 19 日,C0RE 小組向 Google 發出通知,指出有心人士可能會在 Android 裝置上惡意運用這個問題漏洞,而他們開發的修補程式會收錄在下一次的每月定期更新中。
2016 年 3 月 15 日,Google 收到 Zimperium 回報,表示有人在 Nexus 5 裝置上濫用這個漏洞。Google 已經確認,有一個公開發行的 Root 權限獲取應用程式在 Nexus 5 和 Nexus 6 裝置上濫用這個漏洞,為裝置使用者提供 Root 權限。
這個問題可能會讓有心人士取得本機進階權限並執行任意程式碼,進而導致本機裝置受到永久性破壞,因此嚴重程度評定為「最高」。
範圍
本公告適用於所有搭載核心 3.4、3.10 和 3.14 版本且未經修補的 Android 裝置,包括所有 Nexus 裝置。使用 Linux 核心 3.18 以上版本的 Android 裝置則不受影響。
因應措施
我們已取採下列幾種因應措施,降低使用者受到此問題影響的可能性:
- 「驗證應用程式」已更新;無論是否透過 Google Play 安裝,都能避免使用者安裝會惡意運用此安全漏洞的應用程式。
- Google Play 不允許可取得 Root 權限的應用程式 (例如會惡意運用這個問題的應用程式) 上架。
- 使用 Linux 核心 3.18 以上版本的 Android 裝置不受影響。
特別銘謝
Android 感謝 C0RE 團隊和 Zimperium 發現此問題。
建議採取的動作
Android 建議所有使用者在有裝置更新可用時進行更新。
修正項目
Google 已在 Android 開放原始碼計畫存放區中發布多個核心版本的修正程式。我們也向 Android 合作夥伴發出修正程式通知,並建議他們套用這些修正程式。如需進一步更新,Android 將直接發布至 Android 開放原始碼計畫。
| 核心版本 | 修補程式 |
|---|---|
| 3.4 | Android 開放原始碼計畫修補程式 |
| 3.10 | Android 開放原始碼計畫修補程式 |
| 3.14 | Android 開放原始碼計畫修補程式 |
| 3.18+ | 已在公開的 Linux 核心中修補完成 |
常見問題與解答
1. 這個問題會有什麼影響?
核心中的權限升級漏洞會讓本機惡意應用程式在核心中執行任意程式碼。這個問題可能會導致本機裝置受到永久性破壞,而只能以還原 (Re-flash) 作業系統的方式修復,因此嚴重程度評定為「最高」。
2. 攻擊者會如何惡意運用這個問題?
使用者如果安裝會惡意運用這個問題的應用程式,就會面臨風險。Google Play 會禁止 Root 權限獲取應用程式 (例如會惡意運用這個問題的應用程式) 上架,而且 Google 會透過驗證應用程式封鎖這類應用程式在 Google Play 以外的安裝作業。這樣一來,攻擊者就必須設法說服使用者手動安裝受影響的應用程式。
3. 哪些裝置可能會受到影響?
Google 已確認這項惡意攻擊可在 Nexus 5 和 Nexus 6 上運作,不過所有未經修補的 Android 版本都含有這項漏洞。
4. Google 是否已有這個安全漏洞遭人濫用的證據?
是的,Google 已發現證據,確定有人透過可公開取得的 Root 權限獲取工具在 Nexus 5 上濫用此漏洞。不過,Google 尚未發現可歸類為「惡意」的運用情形。
5. 如何解決這個問題?
Google Play 已禁止企圖運用這個問題的應用程式上架。同樣地,「驗證應用程式」會針對嘗試運用此問題的應用程式,封鎖在 Google Play 以外的安裝作業。此外,只要更新程式準備就緒,Google Nexus 裝置就會立即安裝修補程式,我們也已通知 Android 合作夥伴,讓他們能同時發布類似的更新程式。
6. 如何判斷裝置已安裝此問題的修正程式?
Android 已向合作夥伴提供兩種方法,方便他們確認自己的裝置不會受到此問題影響。安全性修補程式等級日期為 2016 年 3 月 18 日的 Android 裝置不受影響。安全修補等級日期在 2016 年 4 月 2 日之後的 Android 裝置也不受此問題影響。請參閱這篇文章,瞭解如何查看安全性修補程式等級。
修訂版本
- 2016 年 3 月 18 日:發布補充公告。