تم النشر في 18 آذار 2016
تعد إرشادات أمان Android مكملة لنشرات أمان Nexus. راجع صفحة الملخص الخاصة بنا للحصول على مزيد من المعلومات حول الإرشادات الأمنية.
ملخص
أصبحت Google على دراية بتطبيق تجذير يستخدم ارتفاعًا محليًا غير مسبوق لضعف الامتياز في النواة على بعض أجهزة Android ( CVE-2015-1805 ). لكي يؤثر هذا التطبيق على الجهاز ، يجب على المستخدم تثبيته أولاً. تحظر Google بالفعل تثبيت تطبيقات الجذر التي تستخدم هذه الثغرة الأمنية - سواء داخل Google Play أو خارج Google Play - باستخدام Verify Apps ، وقامت بتحديث أنظمتنا لاكتشاف التطبيقات التي تستخدم هذه الثغرة الأمنية المحددة.
لتوفير طبقة دفاع أخيرة لهذه المشكلة ، تم تزويد الشركاء بتصحيح لهذه المشكلة في 16 آذار (مارس) 2016. ويجري إنشاء تحديثات Nexus وسيتم إصدارها في غضون أيام قليلة. تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلة إلى مستودع Android Open Source Project (AOSP).
خلفية
هذه مشكلة معروفة في إصدار Linux kernel الذي تم إصلاحه في أبريل 2014 ولكن لم يتم استدعاؤه كإصلاح أمني وتم تعيين CVE-2015-1805 حتى 2 فبراير 2015. في 19 فبراير 2016 ، أبلغ فريق C0RE Google بذلك يمكن استغلال المشكلة على Android وتم تطوير تصحيح ليتم تضمينه في التحديث الشهري القادم المجدول بانتظام.
في 15 مارس 2016 ، تلقت Google تقريرًا من Zimperium يفيد بأنه تم إساءة استخدام هذه الثغرة الأمنية على جهاز Nexus 5. أكدت Google وجود تطبيق تجذير متاح للجمهور يسيء استخدام هذه الثغرة الأمنية على Nexus 5 و Nexus 6 لتزويد مستخدم الجهاز بامتيازات الجذر.
تم تصنيف هذه المشكلة على أنها مشكلة حرجة بسبب احتمالية تصعيد الامتياز المحلي والتنفيذ التعسفي للرمز مما يؤدي إلى اختراق محلي دائم للجهاز.
نِطَاق
ينطبق هذا الاستشارة على جميع أجهزة Android غير المصححة على إصدارات kernel 3.4 و 3.10 و 3.14 ، بما في ذلك جميع أجهزة Nexus. أجهزة Android التي تستخدم Linux kernel الإصدار 3.18 أو أعلى ليست عرضة للخطر.
التخفيفات
فيما يلي عوامل التخفيف التي تقلل من احتمالية تأثر المستخدمين بهذه المشكلة:
- تم تحديث التحقق من التطبيقات لحظر تثبيت التطبيقات التي علمنا أنها تحاول استغلال هذه الثغرة الأمنية داخل وخارج Google Play.
- لا يسمح Google Play بتجذير التطبيقات ، مثل التطبيق الذي يسعى لاستغلال هذه المشكلة.
- أجهزة Android التي تستخدم Linux kernel الإصدار 3.18 أو أعلى ليست عرضة للخطر.
شكر وتقدير
يود Android أن يشكر فريق C0RE و Zimperium على مساهماتهم في هذا الاستشارة.
الأعمال المقترحة
يشجع Android جميع المستخدمين على قبول التحديثات على أجهزتهم عندما تكون متاحة.
إصلاحات
أصدرت Google إصلاحًا في مستودع AOSP لإصدارات متعددة من النواة. تم إخطار شركاء Android بهذه الإصلاحات ونحثهم على تطبيقها. إذا كانت هناك حاجة إلى مزيد من التحديثات ، فسيقوم Android بنشرها مباشرةً على AOSP.
| إصدار النواة | رقعة |
|---|---|
| 3.4 | تصحيح AOSP |
| 3.10 | تصحيح AOSP |
| 3.14 | تصحيح AOSP |
| 3.18+ | مصححة في نواة لينكس العامة |
أسئلة وأجوبة شائعة
1. ما هي المشكلة؟
قد يؤدي ارتفاع ثغرة الامتياز في النواة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في النواة. تم تصنيف هذه المشكلة على أنها خطيرة للغاية نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز وقد يحتاج الجهاز إلى الإصلاح عن طريق إعادة وميض نظام التشغيل.
2. كيف يسعى المهاجم لاستغلال هذه المشكلة؟
المستخدمون الذين يقومون بتثبيت تطبيق يسعى إلى استغلال هذه المشكلة معرضون للخطر. يُحظر تجذير التطبيقات (مثل التطبيق الذي يستغل هذه المشكلة) في Google Play ، وتحظر Google تثبيت هذا التطبيق خارج Google Play من خلال Verify Apps. سيحتاج المهاجم إلى إقناع المستخدم بتثبيت تطبيق متأثر يدويًا.
3. ما هي الأجهزة التي يمكن أن تتأثر؟
أكدت Google أن هذا الاستغلال يعمل على Nexus 5 و 6 ؛ ومع ذلك ، تحتوي جميع إصدارات Android غير المصححة على الثغرة الأمنية.
4. هل شاهدت Google دليلًا على إساءة استخدام هذه الثغرة الأمنية؟
نعم ، لقد شاهدت Google دليلًا على إساءة استخدام هذه الثغرة الأمنية على Nexus 5 باستخدام أداة تجذير متاحة للجمهور. لم تلاحظ Google أي استغلال يمكن تصنيفه على أنه "ضار".
5. كيف ستعالج هذه المشكلة؟
يحظر Google Play التطبيقات التي تحاول استغلال هذه المشكلة. وبالمثل ، تحظر ميزة "التحقق من التطبيقات" تثبيت التطبيقات من خارج Google Play والتي تحاول استغلال هذه المشكلة. سيتم أيضًا تصحيح أجهزة Google Nexus بمجرد أن يصبح التحديث جاهزًا وقد أبلغنا شركاء Android حتى يتمكنوا من إصدار تحديثات مماثلة.
6. كيف أعرف ما إذا كان لدي جهاز يحتوي على إصلاح لهذه المشكلة؟
قدم Android خيارين لشركائنا للإبلاغ بأن أجهزتهم ليست عرضة لهذه المشكلة. أجهزة Android ذات مستوى تصحيح الأمان في 18 مارس 2016 ليست عرضة للهجوم. أجهزة Android ذات مستوى تصحيح الأمان بتاريخ 2 أبريل 2016 وما بعده ليست عرضة لهذه المشكلة. راجع هذه المقالة للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان.
التنقيحات
- 18 آذار (مارس) 2016: نُشر التقرير الاستشاري.