Veröffentlicht am 18. März 2016
Android-Sicherheitshinweise ergänzen die Nexus-Sicherheitsbulletins. Weitere Informationen zu Sicherheitshinweisen finden Sie auf unserer Übersichtsseite .
Zusammenfassung
Google ist auf eine Rooting-Anwendung aufmerksam geworden, die eine nicht gepatchte Schwachstelle zur Erhöhung der Berechtigungen im Kernel einiger Android-Geräte ausnutzt ( CVE-2015-1805 ). Damit sich diese Anwendung auf ein Gerät auswirkt, muss der Benutzer sie zuerst installieren. Google blockiert bereits die Installation von Rooting-Anwendungen, die diese Schwachstelle nutzen – sowohl innerhalb von Google Play als auch außerhalb von Google Play – mit Verify Apps und hat unsere Systeme aktualisiert, um Anwendungen zu erkennen, die diese spezifische Schwachstelle nutzen.
Als letzte Verteidigungsebene für dieses Problem wurde Partnern am 16. März 2016 ein Patch für dieses Problem bereitgestellt. Nexus-Updates werden erstellt und innerhalb weniger Tage veröffentlicht. Quellcode-Patches für dieses Problem wurden im Repository des Android Open Source Project (AOSP) veröffentlicht.
Hintergrund
Dies ist ein bekanntes Problem im Upstream-Linux-Kernel, das im April 2014 behoben, aber erst am 2. Februar 2015 als Sicherheitsfix bezeichnet und CVE-2015-1805 zugewiesen wurde. Am 19. Februar 2016 benachrichtigte das C0RE-Team Google darüber Das Problem konnte auf Android ausgenutzt werden, und es wurde ein Patch entwickelt, der in ein bevorstehendes regelmäßig geplantes monatliches Update aufgenommen werden soll.
Am 15. März 2016 erhielt Google eine Meldung von Zimperium, dass diese Schwachstelle auf einem Nexus 5-Gerät missbraucht wurde. Google hat die Existenz einer öffentlich verfügbaren Rooting-Anwendung bestätigt, die diese Schwachstelle auf Nexus 5 und Nexus 6 missbraucht, um dem Gerätebenutzer Root-Rechte zu verleihen.
Dieses Problem wird als Problem mit kritischem Schweregrad eingestuft, da die Möglichkeit besteht, dass eine lokale Privilegienausweitung und willkürliche Codeausführung zu einer lokalen dauerhaften Kompromittierung des Geräts führen.
Zielfernrohr
Diese Empfehlung gilt für alle ungepatchten Android-Geräte mit den Kernel-Versionen 3.4, 3.10 und 3.14, einschließlich aller Nexus-Geräte. Android-Geräte mit Linux-Kernel-Version 3.18 oder höher sind nicht anfällig.
Abmilderungen
Die folgenden Maßnahmen reduzieren die Wahrscheinlichkeit, dass Benutzer von diesem Problem betroffen sind:
- Verify Apps wurde aktualisiert, um die Installation von Anwendungen zu blockieren, von denen wir erfahren haben, dass sie versuchen, diese Schwachstelle sowohl innerhalb als auch außerhalb von Google Play auszunutzen.
- Google Play erlaubt keine Root-Anwendungen, wie diejenige, die dieses Problem ausnutzen möchte.
- Android-Geräte mit Linux-Kernel-Version 3.18 oder höher sind nicht anfällig.
Danksagungen
Android dankt dem C0RE-Team und Zimperium für ihre Beiträge zu dieser Empfehlung.
Vorgeschlagene Handlungen
Android ermutigt alle Benutzer, Updates für ihre Geräte zu akzeptieren, wenn sie verfügbar sind.
Behebt
Google hat einen Fix im AOSP-Repository für mehrere Kernel-Versionen veröffentlicht. Android-Partner wurden über diese Fixes informiert und werden ermutigt, sie anzuwenden. Wenn weitere Updates erforderlich sind, wird Android diese direkt an AOSP veröffentlichen.
| Kernelversion | Patch |
|---|---|
| 3.4 | AOSP-Patch |
| 3.10 | AOSP-Patch |
| 3.14 | AOSP-Patch |
| 3.18+ | Im öffentlichen Linux-Kernel gepatcht |
Häufige Fragen und Antworten
1. Was ist das Problem?
Eine Elevation-of-Privilege-Schwachstelle im Kernel könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen permanenten Gerätekompromittierung als kritischer Schweregrad eingestuft und das Gerät müsste möglicherweise durch erneutes Flashen des Betriebssystems repariert werden.
2. Wie würde ein Angreifer versuchen, dieses Problem auszunutzen?
Benutzer, die eine Anwendung installieren, die versucht, dieses Problem auszunutzen, sind gefährdet. Rooting-Anwendungen (wie die, die dieses Problem ausnutzt) sind in Google Play verboten, und Google blockiert die Installation dieser Anwendung außerhalb von Google Play durch Verify Apps. Ein Angreifer müsste einen Benutzer davon überzeugen, eine betroffene Anwendung manuell zu installieren.
3. Welche Geräte könnten betroffen sein?
Google hat bestätigt, dass dieser Exploit auf Nexus 5 und 6 funktioniert; Alle ungepatchten Versionen von Android enthalten jedoch die Schwachstelle.
4. Hat Google Hinweise darauf gefunden, dass diese Schwachstelle missbraucht wird?
Ja, Google hat Beweise dafür gefunden, dass diese Schwachstelle auf einem Nexus 5 mit einem öffentlich verfügbaren Rooting-Tool missbraucht wird. Google hat keine als „bösartig“ einzustufende Ausnutzung beobachtet.
5. Wie werden Sie dieses Problem angehen?
Google Play verbietet Apps, die versuchen, dieses Problem auszunutzen. In ähnlicher Weise blockiert „Apps überprüfen“ die Installation von Apps von außerhalb von Google Play, die versuchen, dieses Problem auszunutzen. Google Nexus-Geräte werden ebenfalls gepatcht, sobald ein Update verfügbar ist, und wir haben Android-Partner benachrichtigt, damit sie ähnliche Updates veröffentlichen können.
6. Woher weiß ich, ob ich ein Gerät habe, das eine Lösung für dieses Problem enthält?
Android hat unseren Partnern zwei Optionen zur Verfügung gestellt, um mitzuteilen, dass ihre Geräte für dieses Problem nicht anfällig sind. Android-Geräte mit Sicherheitspatch-Level vom 18. März 2016 sind nicht angreifbar. Android-Geräte mit einem Sicherheitspatch-Level vom 2. April 2016 und höher sind für dieses Problem nicht anfällig. In diesem Artikel finden Sie Anweisungen zum Überprüfen des Sicherheitspatch-Levels.
Revisionen
- 18. März 2016: Empfehlung veröffentlicht.