Publicado em 18 de março de 2016
Os Avisos de Segurança do Android são complementares aos Boletins de Segurança do Nexus. Consulte nossa página de resumo para obter mais informações sobre os comunicados de segurança.
Resumo
O Google tomou conhecimento de um aplicativo de root usando uma vulnerabilidade de elevação de privilégio local não corrigida no kernel em alguns dispositivos Android ( CVE-2015-1805 ). Para que este aplicativo afete um dispositivo, o usuário deve primeiro instalá-lo. O Google já bloqueia a instalação de aplicativos de root que usam essa vulnerabilidade — tanto dentro quanto fora do Google Play — usando o Verify Apps e atualizou nossos sistemas para detectar aplicativos que usam essa vulnerabilidade específica.
Para fornecer uma camada final de defesa para esse problema, os parceiros receberam um patch para esse problema em 16 de março de 2016. As atualizações do Nexus estão sendo criadas e serão lançadas dentro de alguns dias. Patches de código-fonte para esse problema foram lançados no repositório Android Open Source Project (AOSP).
Fundo
Este é um problema conhecido no kernel Linux upstream que foi corrigido em abril de 2014, mas não foi apontado como uma correção de segurança e atribuído CVE-2015-1805 até 2 de fevereiro de 2015. Em 19 de fevereiro de 2016, a equipe C0RE notificou o Google que o problema poderia ser explorado no Android e um patch foi desenvolvido para ser incluído em uma atualização mensal agendada regularmente.
Em 15 de março de 2016, o Google recebeu um relatório da Zimperium informando que esta vulnerabilidade havia sido abusada em um dispositivo Nexus 5. O Google confirmou a existência de um aplicativo de root disponível publicamente que abusa dessa vulnerabilidade no Nexus 5 e no Nexus 6 para fornecer privilégios de root ao usuário do dispositivo.
Esse problema é classificado como um problema de gravidade crítica devido à possibilidade de escalonamento de privilégios locais e execução arbitrária de código, levando ao comprometimento local permanente do dispositivo.
Escopo
Este comunicado se aplica a todos os dispositivos Android sem patch nas versões 3.4, 3.10 e 3.14 do kernel, incluindo todos os dispositivos Nexus. Dispositivos Android que usam o kernel Linux versão 3.18 ou superior não são vulneráveis.
Mitigações
A seguir estão as mitigações que reduzem a probabilidade de os usuários serem afetados por esse problema:
- O Verify Apps foi atualizado para bloquear a instalação de aplicativos que descobrimos que estão tentando explorar essa vulnerabilidade dentro e fora do Google Play.
- O Google Play não permite fazer root em aplicativos, como aquele que busca explorar esse problema.
- Dispositivos Android que usam o kernel Linux versão 3.18 ou superior não são vulneráveis.
Reconhecimentos
A Android gostaria de agradecer à equipe C0RE e à Zimperium por suas contribuições para este comunicado.
Ações sugeridas
O Android incentiva todos os usuários a aceitarem atualizações em seus dispositivos quando estiverem disponíveis.
Conserta
O Google lançou uma correção no repositório AOSP para várias versões do kernel. Os parceiros Android foram notificados sobre essas correções e são incentivados a aplicá-las. Se forem necessárias mais atualizações, o Android as publicará diretamente no AOSP.
| Versão do kernel | Correção |
|---|---|
| 3.4 | Patch AOSP |
| 3.10 | Patch AOSP |
| 3.14 | Patch AOSP |
| 3,18+ | Patchado no kernel público do Linux |
Perguntas e respostas comuns
1. Qual é o problema?
Uma vulnerabilidade de elevação de privilégio no kernel pode permitir que um aplicativo malicioso local execute código arbitrário no kernel. Este problema é classificado como de gravidade crítica devido à possibilidade de um comprometimento local permanente do dispositivo e o dispositivo possivelmente precisará ser reparado atualizando novamente o sistema operacional.
2. Como um invasor tentaria explorar esse problema?
Os usuários que instalam um aplicativo que busca explorar esse problema correm risco. Aplicativos de root (como aquele que explora esse problema) são proibidos no Google Play, e o Google está bloqueando a instalação desse aplicativo fora do Google Play por meio do Verify Apps. Um invasor precisaria convencer um usuário a instalar manualmente um aplicativo afetado.
3. Quais dispositivos podem ser afetados?
O Google confirmou que esta exploração funciona no Nexus 5 e 6; no entanto, todas as versões não corrigidas do Android contêm a vulnerabilidade.
4. O Google viu evidências de abuso desta vulnerabilidade?
Sim, o Google viu evidências de abuso desta vulnerabilidade em um Nexus 5 usando uma ferramenta de root disponível publicamente. O Google não observou nenhuma exploração que pudesse ser classificada como “malicioso”.
5. Como você abordará esta questão?
O Google Play proíbe aplicativos que tentem explorar esse problema. Da mesma forma, o Verify Apps bloqueia a instalação de aplicativos de fora do Google Play que tentam explorar esse problema. Os dispositivos Google Nexus também serão corrigidos assim que uma atualização estiver pronta e notificaremos os parceiros Android para que possam lançar atualizações semelhantes.
6. Como posso saber se possuo um dispositivo que contém uma solução para esse problema?
O Android oferece duas opções para nossos parceiros comunicarem que seus dispositivos não são vulneráveis a esse problema. Dispositivos Android com patch de segurança de 18 de março de 2016 não são vulneráveis. Dispositivos Android com nível de patch de segurança de 2 de abril de 2016 e posterior não são vulneráveis a esse problema. Consulte este artigo para obter instruções sobre como verificar o nível do patch de segurança.
Revisões
- 18 de março de 2016: Comunicado publicado.