Avviso sulla sicurezza Android— 2016-03-18

Pubblicato il 18 marzo 2016

Gli avvisi sulla sicurezza Android sono aggiuntivi ai bollettini sulla sicurezza di Nexus. Fare riferimento alla nostra pagina di riepilogo per ulteriori informazioni sugli avvisi di sicurezza.

Riepilogo

Google è venuta a conoscenza di un'applicazione di rooting che utilizza una vulnerabilità di elevazione locale dei privilegi senza patch nel kernel su alcuni dispositivi Android ( CVE-2015-1805 ). Affinché questa applicazione possa influire su un dispositivo, l'utente deve prima installarla. Google blocca già l'installazione di applicazioni di rooting che utilizzano questa vulnerabilità, sia all'interno di Google Play che all'esterno di Google Play, utilizzando Verify Apps e ha aggiornato i nostri sistemi per rilevare le applicazioni che utilizzano questa specifica vulnerabilità.

Per fornire un ultimo livello di difesa da questo problema, il 16 marzo 2016 ai partner è stata fornita una patch per questo problema. Gli aggiornamenti Nexus sono in fase di creazione e verranno rilasciati entro pochi giorni. Le patch del codice sorgente per questo problema sono state rilasciate nel repository Android Open Source Project (AOSP).

Sfondo

Si tratta di un problema noto nel kernel Linux upstream che è stato risolto nell'aprile 2014 ma non è stato segnalato come correzione di sicurezza e assegnato CVE-2015-1805 fino al 2 febbraio 2015. Il 19 febbraio 2016, il team C0RE ha notificato a Google che il problema potrebbe essere sfruttato su Android ed è stata sviluppata una patch da includere in un prossimo aggiornamento mensile regolarmente programmato.

Il 15 marzo 2016 Google ha ricevuto una segnalazione da Zimperium secondo cui questa vulnerabilità era stata abusata su un dispositivo Nexus 5. Google ha confermato l'esistenza di un'applicazione di rooting disponibile pubblicamente che sfrutta questa vulnerabilità su Nexus 5 e Nexus 6 per fornire all'utente del dispositivo i privilegi di root.

Questo problema è classificato come un problema di gravità critica a causa della possibilità di un'escalation dei privilegi locali e dell'esecuzione di codice arbitrario che portano alla compromissione permanente del dispositivo locale.

Scopo

Questo avviso si applica a tutti i dispositivi Android senza patch con versioni del kernel 3.4, 3.10 e 3.14, inclusi tutti i dispositivi Nexus. I dispositivi Android che utilizzano il kernel Linux versione 3.18 o successiva non sono vulnerabili.

Mitigazioni

Di seguito sono riportate le soluzioni che riducono la probabilità che gli utenti siano interessati da questo problema:

  • Verify Apps è stato aggiornato per bloccare l'installazione di applicazioni che, come abbiamo appreso, stanno tentando di sfruttare questa vulnerabilità sia all'interno che all'esterno di Google Play.
  • Google Play non consente applicazioni di rooting, come quella che cerca di sfruttare questo problema.
  • I dispositivi Android che utilizzano il kernel Linux versione 3.18 o successiva non sono vulnerabili.

Ringraziamenti

Android desidera ringraziare il team C0RE e Zimperium per il contributo fornito a questo advisory.

Azioni suggerite

Android incoraggia tutti gli utenti ad accettare gli aggiornamenti sui propri dispositivi quando sono disponibili.

Correzioni

Google ha rilasciato una correzione nel repository AOSP per più versioni del kernel. I partner Android sono stati informati di queste correzioni e sono incoraggiati ad applicarle. Se sono necessari ulteriori aggiornamenti, Android li pubblicherà direttamente su AOSP.

Versione del kernel Toppa
3.4 Patch AOSP
3.10 Patch AOSP
3.14 Patch AOSP
3.18+ Patchato nel kernel Linux pubblico

Domande e risposte comuni

1. Qual è il problema?

Una vulnerabilità legata all'elevazione dei privilegi nel kernel potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel kernel. Questo problema è classificato come grave a causa della possibilità di una compromissione permanente del dispositivo locale e potrebbe essere necessario riparare il dispositivo eseguendo nuovamente il flashing del sistema operativo.

2. In che modo un utente malintenzionato cercherà di sfruttare questo problema?

Gli utenti che installano un'applicazione che tenta di sfruttare questo problema sono a rischio. Le applicazioni di rooting (come quella che sfrutta questo problema) sono vietate in Google Play e Google sta bloccando l'installazione di questa applicazione al di fuori di Google Play tramite Verify Apps. Un utente malintenzionato dovrebbe convincere un utente a installare manualmente un'applicazione interessata.

3. Quali dispositivi potrebbero essere interessati?

Google ha confermato che questo exploit funziona su Nexus 5 e 6; tuttavia tutte le versioni di Android senza patch contengono la vulnerabilità.

4. Google ha riscontrato prove di abuso di questa vulnerabilità?

Sì, Google ha riscontrato prove di abuso di questa vulnerabilità su un Nexus 5 utilizzando uno strumento di rooting disponibile pubblicamente. Google non ha osservato alcuno sfruttamento classificabile come “dannoso”.

5. Come affronterai questo problema?

Google Play vieta alle app che tentano di sfruttare questo problema. Allo stesso modo, Verifica app blocca l'installazione di app esterne a Google Play che tentano di sfruttare questo problema. Anche i dispositivi Google Nexus verranno aggiornati non appena sarà disponibile un aggiornamento e abbiamo avvisato i partner Android in modo che possano rilasciare aggiornamenti simili.

6. Come faccio a sapere se ho un dispositivo che contiene una correzione per questo problema?

Android ha fornito due opzioni ai nostri partner per comunicare che i loro dispositivi non sono vulnerabili a questo problema. I dispositivi Android con un livello di patch di sicurezza del 18 marzo 2016 non sono vulnerabili. I dispositivi Android con un livello di patch di sicurezza del 2 aprile 2016 e versioni successive non sono vulnerabili a questo problema. Fare riferimento a questo articolo per istruzioni su come verificare il livello della patch di sicurezza.

Revisioni

  • 18 marzo 2016: pubblicazione dell'advisory.