ייעוץ אבטחה של Android — 2016-03-18

פורסם ב-18 במרץ 2016

עצות האבטחה של Android הן משלימות לעלוני האבטחה של Nexus. עיין בדף הסיכום שלנו למידע נוסף על עצות אבטחה.

סיכום

גוגל התוודעה לאפליקציית השתרשות המשתמשת בפגיעות של העלאת הרשאות מקומית ללא תיקון בקרנל בחלק ממכשירי אנדרואיד ( CVE-2015-1805 ). כדי שיישום זה ישפיע על מכשיר, על המשתמש להתקין אותו תחילה. גוגל כבר חוסמת התקנה של יישומי שורש המשתמשים בפגיעות זו - הן בתוך Google Play והן מחוץ ל-Google Play - באמצעות Verify Apps , ועדכנה את המערכות שלנו כדי לזהות אפליקציות שמשתמשות בפגיעות ספציפית זו.

כדי לספק שכבת הגנה אחרונה לבעיה זו, השותפים קיבלו תיקון לבעיה זו ב-16 במרץ 2016. עדכוני Nexus נוצרים ויפורסמו תוך מספר ימים. תיקוני קוד מקור עבור בעיה זו שוחררו למאגר Android Open Source Project (AOSP).

רקע כללי

זוהי בעיה ידועה בליבת לינוקס במעלה הזרם שתוקן באפריל 2014 אך לא נקראה כתיקון אבטחה והוקצתה CVE-2015-1805 עד 2 בפברואר 2015. ב-19 בפברואר 2016, צוות C0RE הודיע ​​לגוגל כי ניתן לנצל את הבעיה באנדרואיד ופיתח תיקון שייכלל בעדכון חודשי מתוכנן קבוע.

ב-15 במרץ 2016 קיבלה גוגל דיווח מ-Zimperium לפיה פגיעות זו נוצלה לרעה במכשיר Nexus 5. גוגל אישרה את קיומה של אפליקציית שורש זמינה לציבור שמנצלת את הפגיעות הזו ב-Nexus 5 ו-Nexus 6 כדי לספק למשתמש המכשיר הרשאות שורש.

בעיה זו מדורגת כבעיית חומרה קריטית עקב האפשרות של הסלמה מקומית של הרשאות וביצוע קוד שרירותי המוביל לפגיעה במכשיר קבוע מקומי.

תְחוּם

ייעוץ זה חל על כל מכשירי אנדרואיד שטרם תוקנו בגרסאות ליבה 3.4, 3.10 ו-3.14, כולל כל מכשירי Nexus. מכשירי אנדרואיד המשתמשים בגרסת ליבת לינוקס 3.18 ומעלה אינם פגיעים.

הקלות

להלן אמצעי מניעה שמפחיתים את הסבירות שמשתמשים יושפעו מהבעיה הזו:

  • Verify Apps עודכן כדי לחסום את ההתקנה של יישומים שלמדנו שמנסים לנצל את הפגיעות הזו בתוך ומחוץ ל-Google Play.
  • Google Play אינו מתיר יישום שורש, כמו זה שמבקש לנצל את הבעיה הזו.
  • מכשירי אנדרואיד המשתמשים בגרסת ליבת לינוקס 3.18 ומעלה אינם פגיעים.

תודות

אנדרואיד רוצה להודות לצוות C0RE ול- Zimperium על תרומתם לייעוץ זה.

פעולות מוצעות

אנדרואיד מעודדת את כל המשתמשים לקבל עדכונים למכשירים שלהם כשהם זמינים.

תיקונים

גוגל פרסמה תיקון במאגר AOSP עבור גרסאות ליבה מרובות. שותפי אנדרואיד קיבלו הודעה על תיקונים אלה ומומלץ להחיל אותם. אם נדרשים עדכונים נוספים, אנדרואיד תפרסם אותם ישירות ל-AOSP.

גרסת הקרנל תיקון
3.4 תיקון AOSP
3.10 תיקון AOSP
3.14 תיקון AOSP
3.18+ תוקן בליבת לינוקס ציבורית

שאלות ותשובות נפוצות

1. מה הבעיה?

הפגיעות של העלאת הרשאות בקרנל עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר וייתכן שיהיה צורך לתקן את המכשיר על ידי הבזק מחדש של מערכת ההפעלה.

2. כיצד יבקש תוקף לנצל את הבעיה הזו?

משתמשים שמתקינים יישום המבקש לנצל בעיה זו נמצאים בסיכון. הפעלת אפליקציות שורש (כמו זו שמנצלת בעיה זו) אסורה ב-Google Play, ו-Google חוסמת את ההתקנה של אפליקציה זו מחוץ ל-Google Play דרך Verify Apps. תוקף יצטרך לשכנע משתמש להתקין ידנית יישום מושפע.

3. אילו מכשירים עלולים להיות מושפעים?

גוגל אישרה שהניצול הזה עובד על Nexus 5 ו-6; עם זאת, כל הגרסאות הלא מתוקנות של אנדרואיד מכילות את הפגיעות.

4. האם גוגל ראתה עדויות לניצול לרעה של פגיעות זו?

כן, גוגל ראתה עדויות לניצול לרעה של פגיעות זו ב-Nexus 5 באמצעות כלי השתרשות זמין לציבור. גוגל לא צפתה בשום ניצול שיסווג כ"זדוני".

5. איך תתייחס לנושא הזה?

Google Play אוסר על אפליקציות המנסות לנצל בעיה זו. באופן דומה, Verify Apps חוסם את ההתקנה של אפליקציות מחוץ ל-Google Play המנסות לנצל בעיה זו. גם מכשירי Google Nexus יתוקנו ברגע שעדכון יהיה מוכן והודענו לשותפים של Android כדי שיוכלו לשחרר עדכונים דומים.

6. איך אני יודע אם יש לי מכשיר שמכיל תיקון לבעיה זו?

אנדרואיד סיפקה לשותפים שלנו שתי אפשרויות לתקשר שהמכשירים שלהם אינם פגיעים לבעיה זו. מכשירי אנדרואיד עם רמת תיקון אבטחה של 18 במרץ 2016 אינם פגיעים. מכשירי אנדרואיד עם רמת תיקון אבטחה של 2 באפריל 2016 ואילך אינם פגיעים לבעיה זו. עיין במאמר זה לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה.

תיקונים

  • 18 במרץ 2016: פרסום ייעוץ.