發佈日期:2016 年 3 月 18 日
「Android 安全性公告」為「Nexus 安全性公告」的補充內容。 想進一步瞭解「安全性公告」,請參閱我們的摘要網頁。
摘要
Google 發現一個 Root 權限獲取應用程式會惡意 運用部分 Android 裝置核心中某個未修補的本機權限升級漏洞 (CVE-2015-1805)。 只有使用者在裝置上安裝這個應用程式時,裝置才會受到影響。針對 惡意運用這個漏洞的 Root 權限獲取應用程式, Google 已透過驗證應用程式封鎖安裝作業 (無論是不是透過 Google Play 進行安裝), 也更新了我們的系統,以便偵測任何利用這個特定漏洞的 應用程式。
為針對這個問題提供最終一層防護,我們已在 2016 年 3 月 16 日 向合作夥伴提供這個問題專用的修補程式。Nexus 更新目前正在製作中, 近日就會發佈。這個問題的原始碼修補程式已 發佈到 Android 開放原始碼計劃 (AOSP) 存放區。
背景
這是 Linux 上游核心中的已知問題,在 2014 年 4 月獲得修正, 但直到 2015 年 2 月 2 日才列為安全性修正並獲派編號 CVE-2015-1805。2016 年 2 月 19 日,C0RE 小組向 Google 發出通知, 指出有心人士可能會在 Android 裝置上惡意運用這個問題漏洞, 而他們開發的修補程式會收錄在下一次的每月定期更新中。
2016 年 3 月 15 日,Google 收到 Zimperium 回報, 表示有人在 Nexus 5 裝置上濫用這個漏洞。Google 已經確認,有一個公開發行的 Root 權限獲取應用程式 在 Nexus 5 和 Nexus 6 裝置上濫用這個漏洞, 為裝置使用者提供 Root 權限。
由於這個問題可能會 讓有心人士取得本機進階權限並執行任意程式碼,進而導致 本機裝置受到永久性破壞,因此嚴重程度被評定為「最高」。
範圍
本公告適用於所有搭載核心 3.4、3.10 和 3.14 版本,且未經修補 的 Android 裝置 (包括所有 Nexus 裝置)。使用 Linux 核心 3.18 以上版本的 Android 裝置則不受影響。
因應措施
我們已取採下列幾種因應措施,降低使用者受到此問題影響的可能性:
- 「驗證應用程式」已完成更新,針對我們已知企圖 惡意運用此漏洞的應用程式封鎖安裝作業 (無論是不是 透過 Google Play 進行安裝)。
- Google Play 不允許 Root 權限獲取應用程式 (例如會惡意運用這個問題的應用程式) 上架。
- 使用 Linux 核心 3.18 以上版本的 Android 裝置不會受到影響。
特別銘謝
Android 感謝 C0RE 小組和 Zimperium 對本公告相關問題做出的 貢獻。
建議採取的動作
Android 建議所有使用者在有裝置更新可用時 進行更新。
修正
Google 已針對多個核心版本在 AOSP 存放區發佈修正程式。 Android 已向合作夥伴發出相關修正程式的通知, 並建議他們加以套用。如需進一步的更新,Android 將直接發佈至 AOSP。
| 核心版本 | 修補程式 |
|---|---|
| 3.4 | AOSP 修補程式 |
| 3.10 | AOSP 修補程式 |
| 3.14 | AOSP 修補程式 |
| 3.18+ | 已在公開的 Linux 核心中修補完成 |
常見問題與解答
1. 這個問題會有什麼影響?
核心中的權限升級漏洞可讓本機 惡意應用程式在核心中執行任意程式碼。由於這個問題 可能會導致本機裝置受到永久性破壞,而只能以 還原 (Re-flash) 作業系統的方式修復,因此嚴重程度 被評定為「最高」。
2. 攻擊者會如何惡意運用這個問題?
如果使用者安裝會惡意運用這個問題的應用程式,就必須承擔 風險。Google Play 會禁止 Root 權限獲取應用程式 (例如會 惡意運用這個問題的應用程式) 上架,而且 Google 會透過驗證應用 程式封鎖這類應用程式在 Google Play 以外的安裝作業。這樣一來,攻擊者 就必須設法說服使用者手動安裝受影響的 應用程式。
3. 哪些裝置會受到影響?
Google 已確認這項惡意攻擊可在 Nexus 5 和 Nexus 6 上運作,不過所有 未經修補的 Android 版本都含有這項漏洞。
4. Google 是否已發現此漏洞遭到濫用的證據?
是的,Google 已發現證據,確定有人透過可公開取得的 Root 權限獲取工具 在 Nexus 5 上濫用此漏洞。不過,Google 尚未發現可歸類為 「惡意」的運用情形。
5. 如何解決這個問題?
Google Play 已禁止企圖運用 這個問題的應用程式上架。同樣地,「驗證應用程式」會針對嘗試運用此問題的應用程式, 封鎖在 Google Play 以外的安裝作業。此外,只要 更新程式準備就緒,Google Nexus 裝置就會立即安裝 修補程式,我們也已通知 Android 合作夥伴,讓他們能同時發佈類似的更新程式。
6. 如何得知我的裝置是否已安裝此問題的修正程式?
Android 已向合作夥伴提供兩種方法,方便他們確認自己的裝置 不會受到此問題影響。安全修補等級日期為 2016 年 3 月 18 日 的 Android 裝置不受影響。安全修補等級日期 在 2016 年 4 月 2 日之後的 Android 裝置也不受此問題影響。請參閱 這篇文章, 瞭解如何查看安全修補等級。
修訂版本
- 2016 年 3 月 18 日:發佈公告。