ייעוץ אבטחה לאנדרואיד - 2016-03-18

פורסם ב -18 במרץ 2016

ייעוץ אבטחה של Android משלים את עלוני האבטחה של Nexus. עיין בדף הסיכום שלנו למידע נוסף על ייעוץ אבטחה.

סיכום

גוגל התוודע ליישום השתרשות המשתמש בפגיעות של הרשאות מקומיות שלא תוקנו בגרעין בחלק ממכשירי Android ( CVE-2015-1805 ). כדי שיישום זה ישפיע על מכשיר, על המשתמש להתקין אותו תחילה. גוגל כבר חוסמת התקנה של יישומי שורש המשתמשים בפגיעות זו - הן ב- Google Play והן מחוץ ל- Google Play - באמצעות Verify Apps , ועדכנה את המערכות שלנו לאיתור יישומים המשתמשים בפגיעות ספציפית זו.

כדי לספק שכבת הגנה אחרונה לבעיה זו, שותפים קיבלו תיקון לבעיה זו ב -16 במרץ 2016. עדכוני Nexus נוצרים וישוחררו תוך מספר ימים. תיקוני קוד המקור לבעיה זו שוחררו למאגר Android Open Source Project (AOSP).

רקע כללי

זוהי בעיה ידועה בליבת הלינוקס במעלה הזרם שתוקנה באפריל 2014 אך לא נקראה כתיקון אבטחה והוקצה ל- CVE-2015-1805 עד ה -2 בפברואר 2015. ב- 19 בפברואר 2016, צוות C0RE הודיע ​​ל- Google כי ניתן לנצל את הבעיה באנדרואיד ותיקון פותח כדי להיכלל בעדכון חודשי המתוכנן באופן קבוע.

ב- 15 במרץ 2016 גוגל קיבלה דיווח מ- Zimperium כי פגיעות זו עברה שימוש לרעה במכשיר Nexus 5. גוגל אישרה את קיומה של אפליקציית השתרשות זמינה לציבור המנצלת שימוש בפגיעות זו ב- Nexus 5 וב- Nexus 6 כדי לספק למשתמש במכשיר הרשאות שורש.

סוגיה זו מדורגת כבעיית חומרה קריטית עקב האפשרות להסלמת הרשאות מקומיות וביצוע קוד שרירותי המוביל לפגיעה במכשיר קבוע מקומי.

תְחוּם

ייעוץ זה חל על כל מכשירי ה- Android שלא הותקנו בגרסאות הליבה 3.4, 3.10 ו- 3.14, כולל כל מכשירי Nexus. מכשירי אנדרואיד המשתמשים בליבה של גרסת 3.18 ומעלה אינם פגיעים.

מקלות

להלן מקלות המפחיתות את הסבירות שמשתמשים מושפעים מבעיה זו:

  • אמת את האפליקציות עודכן כדי לחסום את ההתקנה של יישומים שלמדנו שמנסים לנצל את הפגיעות הזו גם ב- Google Play ומחוצה לה.
  • Google Play אינו מאפשר יישומי השתרשות, כמו זו המבקשת לנצל בעיה זו.
  • מכשירי אנדרואיד המשתמשים בליבה של גרסת 3.18 ומעלה אינם פגיעים.

תודות

אנדרואיד רוצה להודות צוות C0RE ו Zimperium על תרומתם מייעצת זו.

פעולות מוצעות

Android מעודדת את כל המשתמשים לקבל עדכונים למכשירים שלהם כשהם זמינים.

תיקונים

גוגל פרסמה תיקון במאגר AOSP למספר גרסאות ליבה. שותפי Android קיבלו הודעה על התיקונים הללו ומומלצים ליישם אותם. אם נדרשים עדכונים נוספים, אנדרואיד תפרסם אותם ישירות ל- AOSP.

גרסת גרעין תיקון
3.4תיקון AOSP
3.10תיקון AOSP
3.14תיקון AOSP
3.18+ תוקן בליבת לינוקס ציבורית

שאלות ותשובות נפוצות

1. מה הבעיה?

העלאת הפגיעות של הרשאות בליבה עשויה לאפשר ליישום זדוני מקומי לבצע קוד שרירותי בליבה. נושא זה מדורג כחומרה קריטית עקב האפשרות לפגיעה קבועה במכשיר המקומי וייתכן שיהיה צורך לתקן את המכשיר באמצעות הברקה חוזרת של מערכת ההפעלה.

2. כיצד היה תוקף מבקש לנצל את הנושא הזה?

משתמשים המתקינים אפליקציה המבקשת לנצל בעיה זו נמצאים בסיכון. יישומי שורש (כמו זה שמנצל בעיה זו) אסורים ב- Google Play, ו- Google חוסמת את ההתקנה של יישום זה מחוץ ל- Google Play באמצעות Verify Apps. תוקף יצטרך לשכנע משתמש להתקין ידנית יישום מושפע.

3. אילו מכשירים עשויים להיות מושפעים?

גוגל אישרה כי ניצול זה עובד על Nexus 5 ו- 6; אולם כל הגרסאות שאינן מתוקנות של Android מכילות את הפגיעות.

4. האם גוגל ראתה עדויות על שימוש בפגיעות זו?

כן, גוגל ראתה עדויות לפגיעות זו שעוברת שימוש לרעה ב- Nexus 5 באמצעות כלי שורש זמין לציבור. גוגל לא ראתה כל ניצול שיסווג כ"זדוני ".

5. כיצד תתייחס לנושא זה?

Google Play אוסרת על אפליקציות שמנסות לנצל בעיה זו. באופן דומה, Verify Apps חוסם את ההתקנה של אפליקציות מחוץ ל- Google Play המנסות לנצל בעיה זו. מכשירי Google Nexus יתוקנו גם ברגע שהעדכון מוכן והודענו לשותפי אנדרואיד כדי שיוכלו לשחרר עדכונים דומים.

6. כיצד אוכל לדעת אם ברשותי מכשיר המכיל תיקון לבעיה זו?

אנדרואיד סיפקה שתי אפשרויות לשותפים שלנו לתקשר כי המכשירים שלהם אינם פגיעים לבעיה זו. מכשירי אנדרואיד עם רמת תיקון אבטחה של 18 במרץ 2016 אינם פגיעים. מכשירי אנדרואיד עם רמת תיקון אבטחה מ -2 באפריל 2016 ואילך אינם חשופים לבעיה זו. עיין במאמר זה לקבלת הוראות לבדיקת רמת תיקון האבטחה.

תיקונים

  • 18 במרץ, 2016: ייעוץ פורסם.