Publicado em 18 de março de 2016
Os avisos de segurança do Android são complementares aos boletins de segurança do Nexus. Consulte nossa página de resumo para mais informações sobre os avisos de segurança.
Resumo
O Google ficou sabendo de um aplicativo de acesso root que usa uma vulnerabilidade local de elevação de privilégio não corrigida no kernel em alguns dispositivos Android (CVE-2015-1805). Para que esse aplicativo afete um dispositivo, o usuário precisa instalá-lo primeiro. O Google já bloqueia a instalação de apps de acesso root que usam essa vulnerabilidade — tanto no Google Play quanto fora do Google Play — usando o Verificação de apps e atualizamos nossos sistemas para detectar apps que usam essa vulnerabilidade específica.
Para oferecer uma última camada de defesa para esse problema, os parceiros receberam um patch em 16 de março de 2016. As atualizações do Nexus estão sendo criadas e serão lançadas em alguns dias. Os patches de código-fonte para esse problema foram lançados no repositório do Android Open Source Project (AOSP).
Contexto
Esse é um problema conhecido no kernel do Linux upstream que foi corrigido em abril de 2014, mas não foi mencionado como uma correção de segurança e recebeu o número CVE-2015-1805 até 2 de fevereiro de 2015. Em 19 de fevereiro de 2016, a equipe C0RE notificou o Google de que o problema poderia ser explorado no Android, e um patch foi desenvolvido para ser incluído em uma próxima atualização mensal programada.
Em 15 de março de 2016, o Google recebeu um relatório da Zimperium informando que essa vulnerabilidade havia sido usada em um dispositivo Nexus 5. O Google confirmou a existência de um aplicativo de acesso root disponível publicamente que abusa dessa vulnerabilidade no Nexus 5 e no Nexus 6 para fornecer privilégios de acesso root ao usuário do dispositivo.
Esse problema é classificado como um problema de gravidade crítica devido à possibilidade de um escalonamento de privilégios local e execução de código arbitrária que leva ao comprometimento permanente local do dispositivo.
Escopo
Este aviso se aplica a todos os dispositivos Android sem patch nas versões 3.4, 3.10 e 3.14 do kernel, incluindo todos os dispositivos Nexus. Dispositivos Android que usam o kernel do Linux versão 3.18 ou mais recente não são vulneráveis.
Mitigações
Confira a seguir as mitigações que reduzem a probabilidade de os usuários serem afetados por esse problema:
- O recurso "Verificar apps" foi atualizado para bloquear a instalação de aplicativos que tentam explorar essa vulnerabilidade dentro e fora do Google Play.
- O Google Play não permite apps de acesso root, como o que tenta explorar esse problema.
- Dispositivos Android que usam o kernel do Linux versão 3.18 ou mais recente não são vulneráveis.
Agradecimentos
O Android gostaria de agradecer à Equipe C0RE e ao Zimperium pelas contribuições a este aviso.
Ações sugeridas
O Android incentiva todos os usuários a aceitar as atualizações dos dispositivos quando elas estiverem disponíveis.
Correções
O Google lançou uma correção no repositório do AOSP para várias versões do kernel. Os parceiros do Android foram notificados sobre essas correções e são incentivados a aplicá-las. Se mais atualizações forem necessárias, o Android vai publicá-las diretamente no AOSP.
| Versão do kernel | Mancha |
|---|---|
| 3.4 | Patch do AOSP |
| 3.10 | Patch do AOSP |
| 3.14 | Patch do AOSP |
| 3.18+ | Patch no kernel público do Linux |
Perguntas e respostas comuns
1. Qual é o problema?
Uma elevação de vulnerabilidade de privilégio no kernel pode permitir que um aplicativo malicioso local execute um código arbitrário no kernel. Esse problema é classificado como de gravidade crítica devido à possibilidade de comprometimento permanente do dispositivo local. O dispositivo provavelmente precisa ser reparado com uma nova instalação do sistema operacional.
2. Como um invasor tentaria explorar esse problema?
Os usuários que instalam um aplicativo que busca explorar esse problema estão em risco. Aplicativos de acesso root (como o que está causando esse problema) são proibidos no Google Play, e o Google está bloqueando a instalação desse aplicativo fora do Google Play pelo Verificação de apps. Um atacante precisa convencer um usuário a instalar manualmente um aplicativo afetado.
3. Quais dispositivos podem ser afetados?
O Google confirmou que esse exploit funciona no Nexus 5 e 6. No entanto, todas as versões não corrigidas do Android contêm a vulnerabilidade.
4. O Google encontrou evidências de abuso dessa vulnerabilidade?
Sim, o Google encontrou evidências de abuso dessa vulnerabilidade em um Nexus 5 usando uma ferramenta de acesso raiz disponível publicamente. O Google não observou nenhuma exploração que seria classificada como "maliciosa".
5. Como você vai resolver esse problema?
O Google Play proíbe apps que tentam explorar esse problema. Da mesma forma, o recurso "Verificar apps" bloqueia a instalação de apps de fora do Google Play que tentam explorar esse problema. Os dispositivos Google Nexus também serão corrigidos assim que uma atualização estiver pronta e tivermos notificado os parceiros do Android para que eles possam lançar atualizações semelhantes.
6. Como faço para saber se tenho um dispositivo com uma correção para esse problema?
O Android ofereceu duas opções aos nossos parceiros para comunicar que os dispositivos deles não são vulneráveis a esse problema. Dispositivos Android com um nível de patch de segurança de 18 de março de 2016 não são vulneráveis. Dispositivos Android com um nível de patch de segurança de 2 de abril de 2016 ou mais recente não estão vulneráveis a esse problema. Consulte este artigo para instruções sobre como verificar o nível do patch de segurança.
Revisões
- 18 de março de 2016: aviso publicado.