Pubblicato il 18 marzo 2016
Gli avvisi di sicurezza Android sono supplementari ai bollettini sulla sicurezza di Nexus. Fare riferimento alla nostra pagina di riepilogo per ulteriori informazioni sugli avvisi di sicurezza.
Riepilogo
Google è venuto a conoscenza di un'applicazione di rooting che utilizza una vulnerabilità di elevazione dei privilegi locale senza patch nel kernel su alcuni dispositivi Android ( CVE-2015-1805 ). Affinché questa applicazione influisca su un dispositivo, l'utente deve prima installarla. Google blocca già l'installazione delle applicazioni di rooting che utilizzano questa vulnerabilità, sia all'interno di Google Play che all'esterno di Google Play, utilizzando Verifica app e ha aggiornato i nostri sistemi per rilevare le applicazioni che utilizzano questa specifica vulnerabilità.
Per fornire un ultimo livello di difesa per questo problema, i partner hanno ricevuto una patch per questo problema il 16 marzo 2016. Gli aggiornamenti di Nexus sono in fase di creazione e verranno rilasciati entro pochi giorni. Le patch del codice sorgente per questo problema sono state rilasciate nel repository Android Open Source Project (AOSP).
Sfondo
Questo è un problema noto nel kernel Linux a monte che è stato risolto nell'aprile 2014 ma non è stato richiamato come correzione di sicurezza e assegnato CVE-2015-1805 fino al 2 febbraio 2015. Il 19 febbraio 2016, il team C0RE ha notificato a Google che il problema potrebbe essere sfruttato su Android ed è stata sviluppata una patch da includere in un imminente aggiornamento mensile regolarmente programmato.
Il 15 marzo 2016 Google ha ricevuto una segnalazione da Zimperium secondo cui questa vulnerabilità era stata abusata su un dispositivo Nexus 5. Google ha confermato l'esistenza di un'applicazione di rooting disponibile pubblicamente che abusa di questa vulnerabilità su Nexus 5 e Nexus 6 per fornire all'utente del dispositivo i privilegi di root.
Questo problema è classificato come un problema di gravità critica a causa della possibilità di un'escalation dei privilegi locali e di un'esecuzione arbitraria di codice che porta alla compromissione permanente del dispositivo locale.
Scopo
Questo avviso si applica a tutti i dispositivi Android senza patch sulle versioni del kernel 3.4, 3.10 e 3.14, inclusi tutti i dispositivi Nexus. I dispositivi Android che utilizzano il kernel Linux versione 3.18 o successiva non sono vulnerabili.
Mitigazioni
Di seguito sono riportate le attenuazioni che riducono la probabilità che gli utenti siano interessati da questo problema:
- Verifica app è stato aggiornato per bloccare l'installazione di applicazioni che abbiamo appreso stanno tentando di sfruttare questa vulnerabilità sia all'interno che all'esterno di Google Play.
- Google Play non consente il rooting delle applicazioni, come quella che cerca di sfruttare questo problema.
- I dispositivi Android che utilizzano il kernel Linux versione 3.18 o successiva non sono vulnerabili.
Ringraziamenti
Android desidera ringraziare il team C0RE e Zimperium per il loro contributo a questo avviso.
Azioni suggerite
Android incoraggia tutti gli utenti ad accettare gli aggiornamenti sui propri dispositivi quando sono disponibili.
Correzioni
Google ha rilasciato una correzione nel repository AOSP per più versioni del kernel. I partner Android sono stati informati di queste correzioni e sono incoraggiati ad applicarle. Se sono necessari ulteriori aggiornamenti, Android li pubblicherà direttamente su AOSP.
| Versione kernel | Toppa |
|---|---|
| 3.4 | Patch AOSP |
| 3.10 | Patch AOSP |
| 3.14 | Patch AOSP |
| 3.18+ | Patchato nel kernel Linux pubblico |
Domande e risposte comuni
1. Qual è il problema?
Una vulnerabilità legata all'acquisizione di privilegi più elevati nel kernel potrebbe consentire a un'applicazione dannosa locale di eseguire codice arbitrario nel kernel. Questo problema è classificato come di gravità Critico a causa della possibilità di una compromissione permanente del dispositivo locale e il dispositivo potrebbe dover essere riparato aggiornando nuovamente il sistema operativo.
2. In che modo un utente malintenzionato cercherà di sfruttare questo problema?
Gli utenti che installano un'applicazione che cerca di sfruttare questo problema sono a rischio. Le applicazioni di rooting (come quella che sfrutta questo problema) sono vietate in Google Play e Google sta bloccando l'installazione di questa applicazione al di fuori di Google Play tramite Verifica app. Un utente malintenzionato dovrebbe convincere un utente a installare manualmente un'applicazione interessata.
3. Quali dispositivi potrebbero essere interessati?
Google ha confermato che questo exploit funziona su Nexus 5 e 6; tuttavia tutte le versioni senza patch di Android contengono la vulnerabilità.
4. Google ha riscontrato prove dell'abuso di questa vulnerabilità?
Sì, Google ha riscontrato prove dell'abuso di questa vulnerabilità su un Nexus 5 utilizzando uno strumento di rooting disponibile pubblicamente. Google non ha osservato alcuno sfruttamento che sarebbe classificato come "dannoso".
5. Come affronterai questo problema?
Google Play vieta alle app di tentare di sfruttare questo problema. Allo stesso modo, Verifica app blocca l'installazione di app esterne a Google Play che tentano di sfruttare questo problema. Anche i dispositivi Google Nexus verranno aggiornati non appena un aggiornamento sarà pronto e abbiamo avvisato i partner Android in modo che possano rilasciare aggiornamenti simili.
6. Come faccio a sapere se ho un dispositivo che contiene una correzione per questo problema?
Android ha fornito due opzioni ai nostri partner per comunicare che i loro dispositivi non sono vulnerabili a questo problema. I dispositivi Android con un livello di patch di sicurezza del 18 marzo 2016 non sono vulnerabili. I dispositivi Android con un livello di patch di sicurezza del 2 aprile 2016 e versioni successive non sono vulnerabili a questo problema. Fare riferimento a questo articolo per istruzioni su come controllare il livello di patch di sicurezza.
Revisioni
- 18 marzo 2016: pubblicazione dell'avviso.