مشاوره امنیتی اندروید — 18-03-2016

منتشر شده در 18 مارس 2016

توصیه‌های امنیتی Android مکمل بولتن‌های امنیتی Nexus هستند. برای اطلاعات بیشتر در مورد مشاوره های امنیتی به صفحه خلاصه ما مراجعه کنید.

خلاصه

گوگل از یک برنامه روت با استفاده از آسیب‌پذیری محلی وصله نشده در هسته در برخی از دستگاه‌های اندروید ( CVE-2015-1805 ) آگاه شده است. برای اینکه این اپلیکیشن روی یک دستگاه تاثیر بگذارد، ابتدا کاربر باید آن را نصب کند. Google در حال حاضر نصب برنامه‌های روت‌کننده‌ای را که از این آسیب‌پذیری استفاده می‌کنند - چه در Google Play و چه خارج از Google Play - با استفاده از Verify Apps مسدود کرده است و سیستم‌های ما را برای شناسایی برنامه‌هایی که از این آسیب‌پذیری خاص استفاده می‌کنند به‌روزرسانی کرده است.

برای ارائه آخرین لایه دفاعی برای این مشکل، شرکا در تاریخ 16 مارس 2016 یک پچ برای این موضوع ارائه کردند. به‌روزرسانی‌های Nexus در حال ایجاد هستند و تا چند روز دیگر منتشر خواهند شد. وصله‌های کد منبع برای این مشکل در مخزن پروژه منبع باز Android (AOSP) منتشر شده است.

زمینه

این یک مشکل شناخته شده در هسته بالادست لینوکس است که در آوریل 2014 برطرف شد، اما به عنوان یک اصلاح امنیتی فراخوانی نشد و تا 2 فوریه 2015 به CVE-2015-1805 اختصاص داده شد. در 19 فوریه 2016، تیم C0RE به Google اطلاع داد که این مشکل را می توان در اندروید مورد سوء استفاده قرار داد و یک وصله ایجاد شد تا در به روز رسانی ماهانه برنامه ریزی منظم آینده گنجانده شود.

در 15 مارس 2016 گوگل گزارشی از Zimperium دریافت کرد مبنی بر اینکه این آسیب پذیری در دستگاه Nexus 5 مورد سوء استفاده قرار گرفته است. گوگل وجود یک برنامه روت در دسترس عمومی را تایید کرده است که از این آسیب پذیری در Nexus 5 و Nexus 6 سوء استفاده می کند تا به کاربر دستگاه امتیازات root را ارائه دهد.

این مشکل به دلیل احتمال افزایش امتیاز محلی و اجرای کد دلخواه که منجر به به خطر افتادن دستگاه دائمی محلی می شود، به عنوان یک مشکل با شدت بحرانی رتبه بندی می شود.

محدوده

این توصیه برای همه دستگاه‌های Android وصله‌نشده در هسته نسخه‌های 3.4، 3.10 و 3.14، از جمله همه دستگاه‌های Nexus اعمال می‌شود. دستگاه‌های اندرویدی که از هسته لینوکس نسخه 3.18 یا بالاتر استفاده می‌کنند، آسیب‌پذیر نیستند.

اقدامات کاهشی

موارد زیر اقدامات کاهشی است که احتمال تأثیرپذیری کاربران از این موضوع را کاهش می دهد:

  • Verify Apps به‌روزرسانی شده است تا نصب برنامه‌هایی را که ما متوجه شده‌ایم در حال تلاش برای سوء استفاده از این آسیب‌پذیری در داخل و خارج از Google Play هستند، مسدود کند.
  • Google Play اجازه روت کردن برنامه‌ها را نمی‌دهد، مانند برنامه‌ای که به دنبال سوء استفاده از این مشکل است.
  • دستگاه‌های اندرویدی که از هسته لینوکس نسخه 3.18 یا بالاتر استفاده می‌کنند، آسیب‌پذیر نیستند.

سپاسگزاریها

Android مایل است از تیم C0RE و Zimperium برای کمک به این مشاوره تشکر کند.

اقدامات پیشنهاد شده

اندروید همه کاربران را تشویق می‌کند که به‌روزرسانی‌های دستگاه‌های خود را در صورت در دسترس بودن بپذیرند.

رفع می کند

گوگل یک اصلاحیه را در مخزن AOSP برای چندین نسخه هسته منتشر کرده است. شرکای Android از این اصلاحات مطلع شده اند و تشویق می شوند که آنها را اعمال کنند. اگر به‌روزرسانی‌های بیشتری نیاز باشد، Android آنها را مستقیماً در AOSP منتشر می‌کند.

نسخه هسته پچ
3.4 پچ AOSP
3.10 پچ AOSP
3.14 پچ AOSP
3.18+ وصله شده در هسته لینوکس عمومی

پرسش ها و پاسخ های متداول

1. مشکل چیست؟

افزایش آسیب پذیری امتیاز در هسته می تواند یک برنامه مخرب محلی را قادر به اجرای کد دلخواه در هسته کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، به عنوان یک شدت بحرانی رتبه بندی شده است و احتمالاً دستگاه باید با فلش مجدد سیستم عامل تعمیر شود.

2. چگونه یک مهاجم به دنبال سوء استفاده از این موضوع است؟

کاربرانی که برنامه ای را نصب می کنند که به دنبال سوء استفاده از این مشکل است، در معرض خطر هستند. روت کردن برنامه ها (مانند برنامه ای که از این مشکل سوء استفاده می کند) در Google Play ممنوع است و Google از طریق Verify Apps نصب این برنامه را در خارج از Google Play مسدود می کند. یک مهاجم باید کاربر را متقاعد کند تا به صورت دستی یک برنامه آسیب دیده را نصب کند.

3. کدام دستگاه ها ممکن است تحت تأثیر قرار گیرند؟

گوگل تایید کرده است که این اکسپلویت روی Nexus 5 و 6 کار می کند. با این حال، تمام نسخه‌های وصله‌نشده اندروید دارای این آسیب‌پذیری هستند.

4. آیا گوگل شواهدی مبنی بر سوء استفاده از این آسیب پذیری دیده است؟

بله، گوگل شواهدی مبنی بر سوء استفاده از این آسیب پذیری در Nexus 5 با استفاده از ابزار روت در دسترس عموم دیده است. گوگل هیچ گونه سوء استفاده ای را مشاهده نکرده است که به عنوان "مخاطب" طبقه بندی شود.

5. چگونه به این موضوع رسیدگی خواهید کرد؟

Google Play برنامه‌هایی را که تلاش می‌کنند از این مشکل سوءاستفاده کنند، ممنوع می‌کند. به طور مشابه، Verify Apps نصب برنامه‌های خارج از Google Play را که تلاش می‌کنند از این مشکل سوءاستفاده کنند، مسدود می‌کند. دستگاه‌های Google Nexus نیز به محض آماده شدن به‌روزرسانی وصله می‌شوند و به شرکای Android اطلاع داده‌ایم تا بتوانند به‌روزرسانی‌های مشابه را منتشر کنند.

6. چگونه بفهمم دستگاهی دارم که دارای راه حلی برای این مشکل است؟

اندروید دو گزینه را در اختیار شرکای خود قرار داده است تا به آنها اطلاع دهند که دستگاه هایشان در برابر این مشکل آسیب پذیر نیستند. دستگاه‌های اندرویدی با سطح وصله امنیتی 18 مارس 2016 آسیب‌پذیر نیستند. دستگاه های اندرویدی با سطح وصله امنیتی 2 آوریل 2016 به بعد در برابر این مشکل آسیب پذیر نیستند. برای اطلاع از نحوه بررسی سطح وصله امنیتی به این مقاله مراجعه کنید.

تجدید نظرها

  • 18 مارس 2016: مشاوره منتشر شد.