18 Mart 2016'da yayınlandı
Android Güvenlik Önerileri, Nexus Güvenlik Bültenlerini tamamlayıcı niteliktedir. Güvenlik Önerileri hakkında daha fazla bilgi için özet sayfamıza bakın.
Özet
Google, bazı Android cihazlarda çekirdekte yama yapılmamış bir yerel ayrıcalık yükselmesi güvenlik açığı kullanan bir köklendirme uygulamasının farkına vardı ( CVE-2015-1805 ). Bu uygulamanın bir cihazı etkilemesi için kullanıcının öncelikle onu yüklemesi gerekir. Google, Uygulamaları Doğrula özelliğini kullanarak bu güvenlik açığını kullanan köklendirme uygulamalarının kurulumunu (hem Google Play içinde hem de Google Play dışında) zaten engellemektedir ve sistemlerimizi, bu özel güvenlik açığını kullanan uygulamaları tespit edecek şekilde güncellemiştir.
Bu soruna yönelik son bir savunma katmanı sağlamak amacıyla iş ortaklarına 16 Mart 2016'da bu soruna yönelik bir yama sağlandı. Nexus güncellemeleri oluşturuluyor ve birkaç gün içinde yayınlanacak. Bu soruna ilişkin kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlandı.
Arka plan
Bu, yukarı akışlı Linux çekirdeğinde bilinen ve Nisan 2014'te düzeltilen ancak güvenlik düzeltmesi olarak adlandırılmayan ve 2 Şubat 2015'e kadar CVE-2015-1805 atanan bilinen bir sorundur. 19 Şubat 2016'da C0RE Ekibi Google'a şunu bildirdi: Sorun Android'de istismar edilebilirdi ve düzenli olarak planlanan aylık güncellemeye dahil edilmek üzere bir yama geliştirildi.
15 Mart 2016'da Google, Zimperium'dan bu güvenlik açığının bir Nexus 5 cihazında kötüye kullanıldığına dair bir rapor aldı. Google, Nexus 5 ve Nexus 6'da bu güvenlik açığını kötüye kullanarak cihaz kullanıcısına kök ayrıcalıkları sağlayan, herkese açık bir köklendirme uygulamasının varlığını doğruladı.
Bu sorun, yerel ayrıcalık yükseltme olasılığı ve yerel kalıcı cihaz güvenliğinin ihlal edilmesine yol açacak rastgele kod yürütme olasılığı nedeniyle Kritik önem derecesine sahip bir sorun olarak derecelendirilmiştir.
Kapsam
Bu tavsiye, tüm Nexus cihazları da dahil olmak üzere 3.4, 3.10 ve 3.14 çekirdek sürümlerine sahip tüm yama uygulanmamış Android cihazlar için geçerlidir. Linux çekirdeği sürüm 3.18 veya üstünü kullanan Android cihazları bu güvenlik açığından etkilenmez.
Azaltmalar
Kullanıcıların bu sorundan etkilenme olasılığını azaltan azaltıcı önlemler aşağıda verilmiştir:
- Verify Apps, Google Play'in hem içinde hem de dışında bu güvenlik açığından yararlanmaya çalıştığını öğrendiğimiz uygulamaların yüklenmesini engelleyecek şekilde güncellendi.
- Google Play, bu sorundan yararlanmaya çalışan uygulamalar gibi uygulamaların köklenmesine izin vermez.
- Linux çekirdeği sürüm 3.18 veya üstünü kullanan Android cihazları bu güvenlik açığından etkilenmez.
Teşekkür
Android, bu danışma belgesine katkılarından dolayı C0RE Ekibine ve Zimperium'a teşekkür eder.
Önerilen eylemler
Android, tüm kullanıcıları, cihazlarındaki güncellemeler mevcut olduğunda kabul etmeye teşvik eder.
Düzeltmeler
Google, birden fazla çekirdek sürümü için AOSP deposunda bir düzeltme yayınladı. Android iş ortakları bu düzeltmeler konusunda bilgilendirildi ve bunları uygulamaları teşvik ediliyor. Daha fazla güncelleme gerekirse Android bunları doğrudan AOSP'de yayınlayacaktır.
| Çekirdek sürümü | Yama |
|---|---|
| 3.4 | AOSP yaması |
| 3.10 | AOSP yaması |
| 3.14 | AOSP yaması |
| 3.18+ | Herkese açık Linux çekirdeğinde yama uygulandı |
Sık Sorulan Sorular ve Cevaplar
1. Sorun nedir?
Çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdekte rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesine sahip olarak derecelendirilmiştir ve muhtemelen işletim sisteminin yeniden flaşlanmasıyla cihazın onarılması gerekebilir.
2. Bir saldırgan bu sorundan nasıl yararlanmaya çalışır?
Bu sorundan yararlanmaya çalışan bir uygulamayı yükleyen kullanıcılar risk altındadır. Köklendirme uygulamaları (bu sorundan yararlanan uygulamalar gibi) Google Play'de yasaktır ve Google, Doğrulama Uygulamaları aracılığıyla bu uygulamanın Google Play dışında kurulmasını engellemektedir. Saldırganın, kullanıcıyı etkilenen uygulamayı manuel olarak yüklemeye ikna etmesi gerekir.
3. Hangi cihazlar etkilenebilir?
Google, bu istismarın Nexus 5 ve 6'da çalıştığını doğruladı; ancak Android'in yama yapılmamış tüm sürümleri bu güvenlik açığını içeriyor.
4. Google bu güvenlik açığının kötüye kullanıldığına dair kanıt gördü mü?
Evet, Google, bu güvenlik açığının halka açık bir köklendirme aracı kullanılarak Nexus 5'te kötüye kullanıldığına dair kanıt gördü. Google, "kötü amaçlı" olarak sınıflandırılabilecek herhangi bir istismar gözlemlememiştir.
5. Bu konuyu nasıl ele alacaksınız?
Google Play, bu sorundan yararlanmaya çalışan uygulamaları yasaklar. Benzer şekilde Uygulamaları Doğrula, Google Play dışından bu sorundan yararlanmaya çalışan uygulamaların yüklenmesini engeller. Google Nexus cihazlarına da bir güncelleme hazır olur olmaz yama uygulanacaktır ve benzer güncellemeleri yayınlayabilmeleri için Android iş ortaklarına bilgi verdik.
6. Bu soruna yönelik düzeltme içeren bir cihazım olup olmadığını nasıl anlarım?
Android, iş ortaklarımıza, cihazlarının bu soruna açık olmadığını bildirmeleri için iki seçenek sundu. Güvenlik düzeltme eki düzeyi 18 Mart 2016 olan Android cihazlar bu güvenlik açığından etkilenmez. Güvenlik düzeltme eki düzeyi 2 Nisan 2016 ve üzeri olan Android cihazlar bu soruna karşı savunmasız değildir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için bu makaleye bakın.
Revizyonlar
- 18 Mart 2016: Danışma belgesi yayınlandı.