Android सुरक्षा सलाह — 2016-03-18

18 मार्च 2016 को प्रकाशित

Android सुरक्षा सलाह नेक्सस सुरक्षा बुलेटिन के पूरक हैं। सुरक्षा सलाह के बारे में अधिक जानकारी के लिए हमारा सारांश पृष्ठ देखें।

सारांश

Google कुछ Android उपकरणों ( CVE-2015-1805 ) पर कर्नेल में विशेषाधिकार भेद्यता के एक अप्रकाशित स्थानीय उन्नयन का उपयोग करके एक रूटिंग एप्लिकेशन के बारे में जागरूक हो गया है। इस एप्लिकेशन के लिए किसी डिवाइस को प्रभावित करने के लिए, उपयोगकर्ता को पहले इसे इंस्टॉल करना होगा। Google पहले से ही इस भेद्यता का उपयोग करने वाले रूटिंग एप्लिकेशन की स्थापना को ब्लॉक कर देता है - Google Play के भीतर और Google Play के बाहर - ऐप्स सत्यापित करें का उपयोग करके, और इस विशिष्ट भेद्यता का उपयोग करने वाले अनुप्रयोगों का पता लगाने के लिए हमारे सिस्टम को अपडेट कर दिया है।

इस मुद्दे के लिए रक्षा की एक अंतिम परत प्रदान करने के लिए, भागीदारों को 16 मार्च, 2016 को इस मुद्दे के लिए एक पैच प्रदान किया गया था। Nexus अपडेट बनाए जा रहे हैं और कुछ दिनों के भीतर जारी किए जाएंगे। इस समस्या के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी में जारी कर दिए गए हैं।

पार्श्वभूमि

यह अपस्ट्रीम लिनक्स कर्नेल में एक ज्ञात समस्या है जिसे अप्रैल 2014 में ठीक किया गया था लेकिन इसे सुरक्षा सुधार के रूप में नहीं बुलाया गया था और 2 फरवरी, 2015 तक CVE-2015-1805 को सौंपा गया था। 19 फरवरी, 2016 को, C0RE टीम ने Google को सूचित किया कि एंड्रॉइड पर इस मुद्दे का फायदा उठाया जा सकता है और आगामी नियमित रूप से निर्धारित मासिक अपडेट में शामिल करने के लिए एक पैच विकसित किया गया था।

15 मार्च 2016 को Google को Zimperium से एक रिपोर्ट मिली कि Nexus 5 डिवाइस पर इस भेद्यता का दुरुपयोग किया गया था। Google ने सार्वजनिक रूप से उपलब्ध रूटिंग एप्लिकेशन के अस्तित्व की पुष्टि की है जो डिवाइस उपयोगकर्ता को रूट विशेषाधिकार प्रदान करने के लिए Nexus 5 और Nexus 6 पर इस भेद्यता का दुरुपयोग करता है।

स्थानीय विशेषाधिकार वृद्धि की संभावना और स्थानीय स्थायी डिवाइस समझौता के कारण मनमाने कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के मुद्दे के रूप में दर्जा दिया गया है।

दायरा

यह सलाह सभी नेक्सस उपकरणों सहित कर्नेल संस्करण 3.4, 3.10 और 3.14 पर सभी पैच न किए गए Android उपकरणों पर लागू होती है। Linux कर्नेल संस्करण 3.18 या उच्चतर का उपयोग करने वाले Android डिवाइस असुरक्षित नहीं हैं।

न्यूनीकरण

निम्नलिखित शमन हैं जो इस समस्या से उपयोगकर्ताओं के प्रभावित होने की संभावना को कम करते हैं:

  • सत्यापित ऐप्स को अपडेट किया गया है ताकि उन एप्लिकेशन की स्थापना को अवरुद्ध किया जा सके जिन्हें हमने सीखा है कि वे Google Play के भीतर और बाहर इस भेद्यता का फायदा उठाने का प्रयास कर रहे हैं।
  • Google Play रूटिंग एप्लिकेशन की अनुमति नहीं देता है, जैसे कि इस समस्या का फायदा उठाने वाले एप्लिकेशन।
  • Linux कर्नेल संस्करण 3.18 या उच्चतर का उपयोग करने वाले Android डिवाइस असुरक्षित नहीं हैं।

स्वीकृतियाँ

Android इस सलाह में योगदान के लिए C0RE टीम और Zimperium को धन्यवाद देना चाहता है।

सुझावित गतिविधियां

एंड्रॉइड सभी उपयोगकर्ताओं को अपने उपकरणों के उपलब्ध होने पर अपडेट स्वीकार करने के लिए प्रोत्साहित करता है।

फिक्स

Google ने कई कर्नेल संस्करणों के लिए AOSP रिपॉजिटरी में एक सुधार जारी किया है। Android भागीदारों को इन सुधारों के बारे में सूचित कर दिया गया है और उन्हें लागू करने के लिए प्रोत्साहित किया जाता है। यदि और अपडेट की आवश्यकता है, तो Android उन्हें सीधे AOSP पर प्रकाशित करेगा।

कर्नेल संस्करण पैबंद
3.4 एओएसपी पैच
3.10 एओएसपी पैच
3.14 एओएसपी पैच
3.18+ सार्वजनिक लिनक्स कर्नेल में पैच किया गया

सामान्य प्रश्न और उत्तर

1. समस्या क्या है?

कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है और संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके डिवाइस को सुधारने की आवश्यकता होगी।

2. एक हमलावर इस मुद्दे का फायदा कैसे उठाना चाहेगा?

जो उपयोगकर्ता इस समस्या का फायदा उठाने का प्रयास करने वाले एप्लिकेशन को इंस्टॉल करते हैं, वे जोखिम में हैं। रूटिंग एप्लिकेशन (जैसे कि इस समस्या का फायदा उठाने वाले) Google Play में प्रतिबंधित हैं, और Google इस एप्लिकेशन की स्थापना को Google Play के बाहर Verify Apps के माध्यम से रोक रहा है। एक हमलावर को किसी उपयोगकर्ता को प्रभावित एप्लिकेशन को मैन्युअल रूप से इंस्टॉल करने के लिए मनाने की आवश्यकता होगी।

3. कौन से उपकरण प्रभावित हो सकते हैं?

Google ने पुष्टि की है कि यह शोषण नेक्सस 5 और 6 पर काम करता है; हालाँकि Android के सभी अप्रकाशित संस्करणों में भेद्यता होती है।

4. क्या Google ने इस भेद्यता के दुरुपयोग के सबूत देखे हैं?

हां, Google ने सार्वजनिक रूप से उपलब्ध रूटिंग टूल का उपयोग करके Nexus 5 पर इस भेद्यता के दुरुपयोग के साक्ष्य देखे हैं। Google ने ऐसा कोई शोषण नहीं देखा है जिसे "दुर्भावनापूर्ण" के रूप में वर्गीकृत किया जाएगा।

5. आप इस मुद्दे को कैसे संबोधित करेंगे?

Google Play इस समस्या का फायदा उठाने का प्रयास करने वाले ऐप्स को प्रतिबंधित करता है। इसी तरह, Verify Apps Google Play के बाहर से उन ऐप्स के इंस्टालेशन को ब्लॉक कर देता है जो इस समस्या का फायदा उठाने का प्रयास करते हैं। अपडेट तैयार होते ही Google Nexus डिवाइस को भी पैच कर दिया जाएगा और हमने Android भागीदारों को सूचित कर दिया है ताकि वे इसी तरह के अपडेट जारी कर सकें।

6. मुझे कैसे पता चलेगा कि मेरे पास कोई ऐसा उपकरण है जिसमें इस समस्या का समाधान है?

Android ने हमारे भागीदारों को यह बताने के लिए दो विकल्प प्रदान किए हैं कि उनके उपकरण इस समस्या के प्रति संवेदनशील नहीं हैं। 18 मार्च, 2016 के सुरक्षा पैच स्तर वाले Android डिवाइस असुरक्षित नहीं हैं। 2 अप्रैल, 2016 और उसके बाद के सुरक्षा पैच स्तर वाले Android डिवाइस इस समस्या के प्रति संवेदनशील नहीं हैं। सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए यह आलेख देखें।

संशोधन

  • 18 मार्च 2016: एडवाइजरी प्रकाशित।