Android 安全性公告—2016 年 3 月 18 日

透過集合功能整理內容 你可以依據偏好儲存及分類內容。

發佈日期:2016 年 3 月 18 日

「Android 安全性公告」為「Nexus 安全性公告」的補充內容。 想進一步瞭解「安全性公告」,請參閱我們的摘要網頁

摘要

Google 發現一個 Root 權限獲取應用程式會惡意 運用部分 Android 裝置核心中某個未修補的本機權限升級漏洞 (CVE-2015-1805)。 只有使用者在裝置上安裝這個應用程式時,裝置才會受到影響。針對 惡意運用這個漏洞的 Root 權限獲取應用程式, Google 已透過驗證應用程式封鎖安裝作業 (無論是不是透過 Google Play 進行安裝), 也更新了我們的系統,以便偵測任何利用這個特定漏洞的 應用程式。

為針對這個問題提供最終一層防護,我們已在 2016 年 3 月 16 日 向合作夥伴提供這個問題專用的修補程式。Nexus 更新目前正在製作中, 近日就會發佈。這個問題的原始碼修補程式已 發佈到 Android 開放原始碼計劃 (AOSP) 存放區。

背景

這是 Linux 上游核心中的已知問題,在 2014 年 4 月獲得修正, 但直到 2015 年 2 月 2 日才列為安全性修正並獲派編號 CVE-2015-1805。2016 年 2 月 19 日,C0RE 小組向 Google 發出通知, 指出有心人士可能會在 Android 裝置上惡意運用這個問題漏洞, 而他們開發的修補程式會收錄在下一次的每月定期更新中。

2016 年 3 月 15 日,Google 收到 Zimperium 回報, 表示有人在 Nexus 5 裝置上濫用這個漏洞。Google 已經確認,有一個公開發行的 Root 權限獲取應用程式 在 Nexus 5 和 Nexus 6 裝置上濫用這個漏洞, 為裝置使用者提供 Root 權限。

由於這個問題可能會 讓有心人士取得本機進階權限並執行任意程式碼,進而導致 本機裝置受到永久性破壞,因此嚴重程度被評定為「最高」

範圍

本公告適用於所有搭載核心 3.4、3.10 和 3.14 版本,且未經修補 的 Android 裝置 (包括所有 Nexus 裝置)。使用 Linux 核心 3.18 以上版本的 Android 裝置則不受影響。

因應措施

我們已取採下列幾種因應措施,降低使用者受到此問題影響的可能性:

  • 「驗證應用程式」已完成更新,針對我們已知企圖 惡意運用此漏洞的應用程式封鎖安裝作業 (無論是不是 透過 Google Play 進行安裝)。
  • Google Play 不允許 Root 權限獲取應用程式 (例如會惡意運用這個問題的應用程式) 上架。
  • 使用 Linux 核心 3.18 以上版本的 Android 裝置不會受到影響。

特別銘謝

Android 感謝 C0RE 小組Zimperium 對本公告相關問題做出的 貢獻。

建議採取的動作

Android 建議所有使用者在有裝置更新可用時 進行更新。

修正

Google 已針對多個核心版本在 AOSP 存放區發佈修正程式。 Android 已向合作夥伴發出相關修正程式的通知, 並建議他們加以套用。如需進一步的更新,Android 將直接發佈至 AOSP。

核心版本 修補程式
3.4 AOSP 修補程式
3.10 AOSP 修補程式
3.14 AOSP 修補程式
3.18+ 已在公開的 Linux 核心中修補完成

常見問題與解答

1. 這個問題會有什麼影響?

核心中的權限升級漏洞可讓本機 惡意應用程式在核心中執行任意程式碼。由於這個問題 可能會導致本機裝置受到永久性破壞,而只能以 還原 (Re-flash) 作業系統的方式修復,因此嚴重程度 被評定為「最高」。

2. 攻擊者會如何惡意運用這個問題?

如果使用者安裝會惡意運用這個問題的應用程式,就必須承擔 風險。Google Play 會禁止 Root 權限獲取應用程式 (例如會 惡意運用這個問題的應用程式) 上架,而且 Google 會透過驗證應用 程式封鎖這類應用程式在 Google Play 以外的安裝作業。這樣一來,攻擊者 就必須設法說服使用者手動安裝受影響的 應用程式。

3. 哪些裝置會受到影響?

Google 已確認這項惡意攻擊可在 Nexus 5 和 Nexus 6 上運作,不過所有 未經修補的 Android 版本都含有這項漏洞。

4. Google 是否已發現此漏洞遭到濫用的證據?

是的,Google 已發現證據,確定有人透過可公開取得的 Root 權限獲取工具 在 Nexus 5 上濫用此漏洞。不過,Google 尚未發現可歸類為 「惡意」的運用情形。

5. 如何解決這個問題?

Google Play 已禁止企圖運用 這個問題的應用程式上架。同樣地,「驗證應用程式」會針對嘗試運用此問題的應用程式, 封鎖在 Google Play 以外的安裝作業。此外,只要 更新程式準備就緒,Google Nexus 裝置就會立即安裝 修補程式,我們也已通知 Android 合作夥伴,讓他們能同時發佈類似的更新程式。

6. 如何得知我的裝置是否已安裝此問題的修正程式?

Android 已向合作夥伴提供兩種方法,方便他們確認自己的裝置 不會受到此問題影響。安全修補等級日期為 2016 年 3 月 18 日 的 Android 裝置不受影響。安全修補等級日期 在 2016 年 4 月 2 日之後的 Android 裝置也不受此問題影響。請參閱 這篇文章, 瞭解如何查看安全修補等級。

修訂版本

  • 2016 年 3 月 18 日:發佈公告。