Pubblicato il 18 marzo 2016
I comunicati sulla sicurezza di Android sono supplementari ai bollettini sulla sicurezza di Nexus. Per ulteriori informazioni sugli avvisi sulla sicurezza, consulta la nostra pagina di riepilogo.
Riepilogo
Google è venuta a conoscenza di un'applicazione di rooting che utilizza una vulnerabilità di elevazione dei privilegi locale non corretta nel kernel su alcuni dispositivi Android (CVE-2015-1805). Affinché questa applicazione influisca su un dispositivo, l'utente deve prima installarla. Google blocca già l'installazione di applicazioni di rooting che sfruttano questa vulnerabilità sia all'interno di Google Play sia al di fuori di Google Play utilizzando Verify Apps e ha aggiornato i propri sistemi per rilevare le applicazioni che sfruttano questa vulnerabilità specifica.
Per fornire un ultimo livello di difesa per questo problema, il 16 marzo 2016 è stata fornita ai partner una patch per il problema. Gli aggiornamenti di Nexus sono in fase di creazione e verranno rilasciati entro pochi giorni. Le patch del codice sorgente per questo problema sono state rilasciate nel repository Android Open Source Project (AOSP).
Sfondo
Si tratta di un problema noto nel kernel Linux upstream che è stato risolto ad aprile 2014, ma non è stato indicato come correzione di sicurezza e non è stato assegnato il codice CVE-2015-1805 fino al 2 febbraio 2015. Il 19 febbraio 2016, il team C0RE ha comunicato a Google che il problema poteva essere sfruttato su Android e ha sviluppato una patch da includere in un prossimo aggiornamento mensile pianificato regolarmente.
Il 15 marzo 2016 Google ha ricevuto un report da Zimperium che indicava che questa vulnerabilità era stata sfruttata su un dispositivo Nexus 5. Google ha confermato l'esistenza di un'applicazione di rooting disponibile pubblicamente che sfrutta questa vulnerabilità su Nexus 5 e Nexus 6 per fornire all'utente del dispositivo i privilegi di root.
Questo problema è classificato come Problema di gravità critica a causa della possibilità di un'escalation dei privilegi locali e dell'esecuzione di codice arbitrario che porta alla compromissione permanente del dispositivo locale.
Ambito
Questo avviso si applica a tutti i dispositivi Android non sottoposti a patch con versioni del kernel 3.4, 3.10 e 3.14, inclusi tutti i dispositivi Nexus. I dispositivi Android che utilizzano il kernel Linux nella versione 3.18 o successive non sono vulnerabili.
Mitigazioni
Di seguito sono riportate le misure di mitigazione che riducono la probabilità che gli utenti siano interessati da questo problema:
- Verifica app è stata aggiornata per bloccare l'installazione di applicazioni che abbiamo appreso stanno tentando di sfruttare questa vulnerabilità sia all'interno che all'esterno di Google Play.
- Google Play non consente le applicazioni di rooting, come quella che cerca di sfruttare questo problema.
- I dispositivi Android che utilizzano la versione 3.18 del kernel Linux o versioni successive non sono vulnerabili.
Ringraziamenti
Android vuole ringraziare il team C0RE e Zimperium per il loro contributo a questo avviso.
Azioni suggerite
Android incoraggia tutti gli utenti ad accettare gli aggiornamenti dei propri dispositivi quando sono disponibili.
Correzioni
Google ha rilasciato una correzione nel repository AOSP per più versioni del kernel. I partner Android sono stati informati di queste correzioni e sono invitati a applicarle. Se sono necessari ulteriori aggiornamenti, Android li pubblicherà direttamente in AOSP.
| Versione kernel | Patch |
|---|---|
| 3.4 | Patch AOSP |
| 3.10 | Patch AOSP |
| 3,14 | Patch AOSP |
| 3,18 e oltre | Patch nel kernel Linux pubblico |
Domande frequenti e risposte
1. Qual è il problema?
Una vulnerabilità di elevazione dei privilegi nel kernel potrebbe consentire a un'applicazione malevola locale di eseguire codice arbitrario nel kernel. Questo problema è classificato come di gravità critica a causa della possibilità di un compromesso permanente locale del dispositivo e potrebbe essere necessario ripararlo eseguendo il reflash del sistema operativo.
2. In che modo un malintenzionato potrebbe sfruttare questo problema?
Gli utenti che installano un'applicazione che cerca di sfruttare questo problema sono a rischio. Le applicazioni di rooting (come quella che sfrutta questo problema) sono vietate su Google Play e Google blocca l'installazione di questa applicazione al di fuori di Google Play tramite Verifica app. Un malintenzionato deve convincere un utente a installare manualmente un'applicazione interessata.
3. Quali dispositivi potrebbero essere interessati?
Google ha confermato che questo exploit funziona su Nexus 5 e 6, ma tutte le versioni di Android non sottoposte a patch contengono la vulnerabilità.
4. Google ha rilevato prove di comportamenti illeciti legati a questa vulnerabilità?
Sì, Google ha rilevato prove di un uso improprio di questa vulnerabilità su un Nexus 5 utilizzando uno strumento di rooting disponibile pubblicamente. Google non ha rilevato alcun exploit che possa essere classificato come "dannoso".
5. Come risolverai il problema?
Google Play vieta le app che tentano di sfruttare questo problema. Analogamente, Verifica app blocca l'installazione di app al di fuori di Google Play che tentano di sfruttare questo problema. Anche i dispositivi Google Nexus subiranno la correzione non appena sarà disponibile un aggiornamento e abbiamo informato i partner Android in modo che possano rilasciare aggiornamenti simili.
6. Come faccio a sapere se ho un dispositivo che contiene una correzione per questo problema?
Android ha fornito ai nostri partner due opzioni per comunicare che i loro dispositivi non sono vulnerabili a questo problema. I dispositivi Android con un livello di patch di sicurezza del 18 marzo 2016 non sono vulnerabili. I dispositivi Android con un livello di patch di sicurezza dal 2 aprile 2016 in poi non sono vulnerabili a questo problema. Consulta questo articolo per istruzioni su come controllare il livello della patch di sicurezza.
Revisioni
- 18 marzo 2016: avviso pubblicato.