منتشر شده در 18 مارس 2016
توصیههای امنیتی Android مکمل بولتنهای امنیتی Nexus هستند. برای اطلاعات بیشتر در مورد مشاوره های امنیتی به صفحه خلاصه ما مراجعه کنید.
خلاصه
گوگل از یک برنامه روت با استفاده از آسیبپذیری محلی وصله نشده در هسته در برخی از دستگاههای اندروید ( CVE-2015-1805 ) آگاه شده است. برای اینکه این اپلیکیشن روی یک دستگاه تاثیر بگذارد، ابتدا کاربر باید آن را نصب کند. Google در حال حاضر نصب برنامههای روتکنندهای را که از این آسیبپذیری استفاده میکنند - چه در Google Play و چه خارج از Google Play - با استفاده از Verify Apps مسدود کرده است و سیستمهای ما را برای شناسایی برنامههایی که از این آسیبپذیری خاص استفاده میکنند بهروزرسانی کرده است.
برای ارائه آخرین لایه دفاعی برای این مشکل، شرکا در تاریخ 16 مارس 2016 یک پچ برای این موضوع ارائه کردند. بهروزرسانیهای Nexus در حال ایجاد هستند و تا چند روز دیگر منتشر خواهند شد. وصلههای کد منبع برای این مشکل در مخزن پروژه منبع باز Android (AOSP) منتشر شده است.
زمینه
این یک مشکل شناخته شده در هسته بالادست لینوکس است که در آوریل 2014 برطرف شد، اما به عنوان یک اصلاح امنیتی فراخوانی نشد و تا 2 فوریه 2015 به CVE-2015-1805 اختصاص داده شد. در 19 فوریه 2016، تیم C0RE به Google اطلاع داد که این مشکل را می توان در اندروید مورد سوء استفاده قرار داد و یک وصله ایجاد شد تا در به روز رسانی ماهانه برنامه ریزی منظم آینده گنجانده شود.
در 15 مارس 2016 گوگل گزارشی از Zimperium دریافت کرد مبنی بر اینکه این آسیب پذیری در دستگاه Nexus 5 مورد سوء استفاده قرار گرفته است. گوگل وجود یک برنامه روت در دسترس عمومی را تایید کرده است که از این آسیب پذیری در Nexus 5 و Nexus 6 سوء استفاده می کند تا به کاربر دستگاه امتیازات root را ارائه دهد.
این مشکل به دلیل احتمال افزایش امتیاز محلی و اجرای کد دلخواه که منجر به به خطر افتادن دستگاه دائمی محلی می شود، به عنوان یک مشکل با شدت بحرانی رتبه بندی می شود.
محدوده
این توصیه برای همه دستگاههای Android وصلهنشده در هسته نسخههای 3.4، 3.10 و 3.14، از جمله همه دستگاههای Nexus اعمال میشود. دستگاههای اندرویدی که از هسته لینوکس نسخه 3.18 یا بالاتر استفاده میکنند، آسیبپذیر نیستند.
اقدامات کاهشی
موارد زیر اقدامات کاهشی است که احتمال تأثیرپذیری کاربران از این موضوع را کاهش می دهد:
- Verify Apps بهروزرسانی شده است تا نصب برنامههایی را که ما متوجه شدهایم در حال تلاش برای سوء استفاده از این آسیبپذیری در داخل و خارج از Google Play هستند، مسدود کند.
- Google Play اجازه روت کردن برنامهها را نمیدهد، مانند برنامهای که به دنبال سوء استفاده از این مشکل است.
- دستگاههای اندرویدی که از هسته لینوکس نسخه 3.18 یا بالاتر استفاده میکنند، آسیبپذیر نیستند.
سپاسگزاریها
Android مایل است از تیم C0RE و Zimperium برای کمک به این مشاوره تشکر کند.
اقدامات پیشنهاد شده
اندروید همه کاربران را تشویق میکند که بهروزرسانیهای دستگاههای خود را در صورت در دسترس بودن بپذیرند.
رفع می کند
گوگل یک اصلاحیه را در مخزن AOSP برای چندین نسخه هسته منتشر کرده است. شرکای Android از این اصلاحات مطلع شده اند و تشویق می شوند که آنها را اعمال کنند. اگر بهروزرسانیهای بیشتری نیاز باشد، Android آنها را مستقیماً در AOSP منتشر میکند.
نسخه هسته | پچ |
---|---|
3.4 | پچ AOSP |
3.10 | پچ AOSP |
3.14 | پچ AOSP |
3.18+ | وصله شده در هسته لینوکس عمومی |
پرسش ها و پاسخ های متداول
1. مشکل چیست؟
افزایش آسیب پذیری امتیاز در هسته می تواند یک برنامه مخرب محلی را قادر به اجرای کد دلخواه در هسته کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، به عنوان یک شدت بحرانی رتبه بندی شده است و احتمالاً دستگاه باید با فلش مجدد سیستم عامل تعمیر شود.
2. چگونه یک مهاجم به دنبال سوء استفاده از این موضوع است؟
کاربرانی که برنامه ای را نصب می کنند که به دنبال سوء استفاده از این مشکل است، در معرض خطر هستند. روت کردن برنامه ها (مانند برنامه ای که از این مشکل سوء استفاده می کند) در Google Play ممنوع است و Google از طریق Verify Apps نصب این برنامه را در خارج از Google Play مسدود می کند. یک مهاجم باید کاربر را متقاعد کند تا به صورت دستی یک برنامه آسیب دیده را نصب کند.
3. کدام دستگاه ها ممکن است تحت تأثیر قرار گیرند؟
گوگل تایید کرده است که این اکسپلویت روی Nexus 5 و 6 کار می کند. با این حال، تمام نسخههای وصلهنشده اندروید دارای این آسیبپذیری هستند.
4. آیا گوگل شواهدی مبنی بر سوء استفاده از این آسیب پذیری دیده است؟
بله، گوگل شواهدی مبنی بر سوء استفاده از این آسیب پذیری در Nexus 5 با استفاده از ابزار روت در دسترس عموم دیده است. گوگل هیچ گونه سوء استفاده ای را مشاهده نکرده است که به عنوان "مخاطب" طبقه بندی شود.
5. چگونه به این موضوع رسیدگی خواهید کرد؟
Google Play برنامههایی را که تلاش میکنند از این مشکل سوءاستفاده کنند، ممنوع میکند. به طور مشابه، Verify Apps نصب برنامههای خارج از Google Play را که تلاش میکنند از این مشکل سوءاستفاده کنند، مسدود میکند. دستگاههای Google Nexus نیز به محض آماده شدن بهروزرسانی وصله میشوند و به شرکای Android اطلاع دادهایم تا بتوانند بهروزرسانیهای مشابه را منتشر کنند.
6. چگونه بفهمم دستگاهی دارم که دارای راه حلی برای این مشکل است؟
اندروید دو گزینه را در اختیار شرکای خود قرار داده است تا به آنها اطلاع دهند که دستگاه هایشان در برابر این مشکل آسیب پذیر نیستند. دستگاههای اندرویدی با سطح وصله امنیتی 18 مارس 2016 آسیبپذیر نیستند. دستگاه های اندرویدی با سطح وصله امنیتی 2 آوریل 2016 به بعد در برابر این مشکل آسیب پذیر نیستند. برای اطلاع از نحوه بررسی سطح وصله امنیتی به این مقاله مراجعه کنید.
تجدید نظرها
- 18 مارس 2016: مشاوره منتشر شد.