תאריך פרסום: 18 במרץ 2016
העדכונים בנושאי אבטחה של Android הם תוספת לעדכוני האבטחה של Nexus. מידע נוסף על עדכוני אבטחה זמין בדף הסיכום.
סיכום
Google נודעה על אפליקציית רוט שמשתמשת בנקודת חולשה מקומית לא מתוקנת של העלאת הרשאות בליבה במכשירי Android מסוימים (CVE-2015-1805). כדי שהאפליקציה הזו תשפיע על מכשיר, המשתמש צריך להתקין אותה קודם. Google כבר חוסמת את ההתקנה של אפליקציות לצורך הרשאת Root שמנצלות את נקודת החולשה הזו — גם ב-Google Play וגם מחוץ ל-Google Play — באמצעות Verify Apps, ועדכנו את המערכות שלנו כדי לזהות אפליקציות שמנצלות את נקודת החולשה הספציפית הזו.
כדי לספק שכבת הגנה אחרונה מפני הבעיה הזו, ב-16 במרץ 2016 הענקנו לשותפים תיקון לבעיה. אנחנו יוצרים עדכונים ל-Nexus, והם יפורסמו תוך כמה ימים. תיקוני קוד המקור לבעיה הזו פורסמו במאגר של פרויקט קוד פתוח של Android (AOSP).
רקע
זוהי בעיה ידועה בליבה של Linux ב-upstream, שתוקנה באפריל 2014, אבל לא סומנה כתיקון אבטחה והוקצה לה מזהה CVE-2015-1805 רק ב-2 בפברואר 2015. ב-19 בפברואר 2016, צוות C0RE הודיע ל-Google שאפשר לנצל לרעה את הבעיה ב-Android, ופותח תיקון שייכלל בעדכון החודשי הקרוב המתוזמן.
ב-15 במרץ 2016, Google קיבלה דיווח מ-Zimperium על ניצול לרעה של נקודת החולשה הזו במכשיר Nexus 5. Google אישרה את קיומו של אפליקציית Rooting שזמינה לכולם, שמנצלת את נקודת החולשה הזו ב-Nexus 5 וב-Nexus 6 כדי לתת למשתמש במכשיר הרשאות root.
הבעיה הזו סווגה כ בעיה ברמת חומרה קריטית בגלל האפשרות להסלמת הרשאות מקומית ולהרצת קוד שרירותי, שעלולה להוביל לפריצה קבועה למכשיר.
היקף
ההודעה הזו רלוונטית לכל מכשירי Android ללא תיקון בגרסאות הליבה 3.4, 3.10 ו-3.14, כולל כל מכשירי Nexus. מכשירי Android עם ליבה של Linux מגרסה 3.18 ואילך לא חשופים לנקודת החולשה הזו.
פעולות מיטיגציה
כדי לצמצם את הסיכוי שהמשתמשים יושפעו מהבעיה הזו, אפשר להשתמש באמצעי המיטיגציה הבאים:
- עדכנו את Verify Apps כדי לחסום את ההתקנה של אפליקציות שגילינו שהן מנצלות את נקודת החולשה הזו, גם ב-Google Play וגם מחוץ אליו.
- Google Play לא מאפשרת אפליקציות לצורך 'רוט', כמו זו שמנסה לנצל את הבעיה הזו.
- מכשירי Android עם גרסה 3.18 ואילך של ליבה של Linux לא חשופים לנקודת החולשה הזו.
תודות
צוות Android רוצה להודות לצוות C0RE ול-Zimperium על התרומה שלהם להודעה הזו.
הצעות לפעולות
אנחנו ממליצים לכל המשתמשים ב-Android לאשר עדכונים למכשירים שלהם כשהם זמינים.
תיקונים
Google פרסמה תיקון במאגר AOSP לכמה גרסאות ליבה. שותפי Android קיבלו הודעה על התיקונים האלה, ומומלץ להם להחיל אותם. אם יידרשו עדכונים נוספים, צוות Android יפרסם אותם ישירות ב-AOSP.
| גרסת ליבה | תיקון |
|---|---|
| 3.4 | תיקון AOSP |
| 3.10 | תיקון AOSP |
| 3.14 | תיקון AOSP |
| 3.18 ומעלה | תיקון בליבה הציבורית של Linux |
שאלות נפוצות ותשובות
1. מה הבעיה?
נקודת חולשה של הסלמת הרשאות בליבה עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בליבה. הדירוג של הבעיה הוא קריטי בגלל האפשרות של פגיעה קבועה במכשיר המקומי, וייתכן שיהיה צורך לתקן את המכשיר על ידי מחיקת הקושחה והפעלה מחדש של מערכת ההפעלה.
2. איך תוקף יכול לנצל את הבעיה הזו?
משתמשים שמתקינים אפליקציה שמנסה לנצל את הבעיה הזו נמצאים בסיכון. אסור לפרסם ב-Google Play אפליקציות לצורך הרשאת Root (כמו זו שמנצלת את הבעיה הזו). Google חוסמת את ההתקנה של האפליקציה הזו מחוץ ל-Google Play באמצעות Verify Apps. תוקף יצטרך לשכנע משתמש להתקין באופן ידני אפליקציה מושפעת.
3. אילו מכשירים עשויים להיות מושפעים?
Google אישרה שהפרצה הזו פועלת ב-Nexus 5 וב-Nexus 6, אבל כל הגרסאות של Android שלא תוקנו מכילות את נקודת החולשה.
4. האם Google זיהתה עדויות לניצול לרעה של נקודת החולשה הזו?
כן, Google זיהתה עדויות לניצול לרעה של נקודת החולשה הזו ב-Nexus 5 באמצעות כלי ל-rooting שזמין לכולם. Google לא זיהתה ניצול כלשהו שיסווג כ'זדוני'.
5. איך תפתרו את הבעיה הזו?
Google Play אוסר על אפליקציות שמנסות לנצל את הבעיה הזו. באופן דומה, 'אימות אפליקציות' חוסם את ההתקנה של אפליקציות מחוץ ל-Google Play שמנסות לנצל את הבעיה הזו. גם מכשירי Google Nexus יקבלו תיקון ברגע שהעדכון יהיה מוכן, ואנחנו הודיעו לשותפי Android כדי שיוכלו להשיק עדכונים דומים.
6. איך אפשר לדעת אם יש מכשיר עם תיקון לבעיה הזו?
צוות Android סיפק לשותפים שלנו שתי אפשרויות להצהיר שהמכשירים שלהם לא חשופים לבעיה הזו. מכשירי Android עם תיקון אבטחה ברמה של 18 במרץ 2016 לא נמצאים בסיכון. מכשירי Android עם תיקון אבטחה ברמה של 2 באפריל 2016 ואילך לא חשופים לבעיה הזו. במאמר הזה מוסבר איך בודקים את רמת תיקון האבטחה.
גרסאות קודמות
- 18 במרץ 2016: פורסם ייעוץ.