Android 安全性補充公告 - 2016-03-18

發布日期:2016 年 3 月 18 日

Android 安全性補充公告為 Nexus 安全性公告的補充內容。如要進一步瞭解安全性補充公告,請參閱摘要網頁

摘要

Google 發現某個 Root 權限獲取應用程式會惡意運用部分 Android 裝置核心中一個未修補的本機權限提升漏洞 (CVE-2015-1805)。只有使用者在裝置上安裝這個應用程式時,裝置才會受到影響。Google 已透過驗證應用程式禁止使用者安裝惡意運用這個安全漏洞的 Root 權限獲取應用程式 (無論是否透過 Google Play 安裝),同時也更新了我們的系統,以偵測任何利用這個漏洞的應用程式。

為針對這個問題提供最終一層防護,我們已在 2016 年 3 月 16 日 向合作夥伴提供這個問題專用的修補程式。Nexus 更新目前正在製作中, 近日就會發佈。這個問題的原始碼修補程式已 發佈到 Android 開放原始碼計劃 (AOSP) 存放區。

背景

這是 Linux 上游核心中的已知問題,在 2014 年 4 月獲得修正, 但直到 2015 年 2 月 2 日才列為安全性修正並獲派編號 CVE-2015-1805。2016 年 2 月 19 日,C0RE 小組向 Google 發出通知, 指出有心人士可能會在 Android 裝置上惡意運用這個問題漏洞, 而他們開發的修補程式會收錄在下一次的每月定期更新中。

2016 年 3 月 15 日,Google 收到 Zimperium 回報, 表示有人在 Nexus 5 裝置上濫用這個漏洞。Google 已經確認,有一個公開發行的 Root 權限獲取應用程式 在 Nexus 5 和 Nexus 6 裝置上濫用這個漏洞, 為裝置使用者提供 Root 權限。

由於這個問題可能會 讓有心人士取得本機進階權限並執行任意程式碼,進而導致 本機裝置受到永久性破壞,因此嚴重程度被評定為「最高」

範圍

本公告適用於所有搭載核心 3.4、3.10 和 3.14 版本,且未經修補 的 Android 裝置 (包括所有 Nexus 裝置)。使用 Linux 核心 3.18 以上版本的 Android 裝置則不受影響。

因應措施

為降低使用者受到這個問題影響的可能性,我們採取了以下幾種因應措施:

  • 更新「驗證應用程式」,不讓使用者安裝會惡意運用此安全漏洞的應用程式 (無論是否透過 Google Play 安裝)。
  • Google Play 不允許 Root 權限獲取應用程式 (例如會惡意運用這個問題的應用程式) 上架。
  • 使用 Linux 核心 3.18 以上版本的 Android 裝置不受影響。

特別銘謝

Android 感謝 C0RE 團隊Zimperium 對本補充公告內問題的貢獻。

建議採取的動作

Android 建議所有使用者在有裝置更新可用時 進行更新。

修正項目

Google 已在 Android 開放原始碼計畫存放區發布多個核心版本的修正程式。我們也向 Android 合作夥伴發出修正程式通知,並建議他們套用這些修正程式。如需進一步更新,Android 將直接發布至 Android 開放原始碼計畫。

核心版本 修補程式
3.4 Android 開放原始碼計畫修補程式
3.10 Android 開放原始碼計畫修補程式
3.14 Android 開放原始碼計畫修補程式
3.18+ 已在公開的 Linux 核心中修補完成

常見問題與解答

1. 這個問題會有什麼影響?

核心中的權限升級漏洞可讓本機 惡意應用程式在核心中執行任意程式碼。由於這個問題 可能會導致本機裝置受到永久性破壞,而只能以 還原 (Re-flash) 作業系統的方式修復,因此嚴重程度 被評定為「最高」。

2. 攻擊者會如何惡意運用這個問題?

如果使用者安裝會惡意運用這個問題的應用程式,就必須承擔 風險。Google Play 會禁止 Root 權限獲取應用程式 (例如會 惡意運用這個問題的應用程式) 上架,而且 Google 會透過驗證應用 程式封鎖這類應用程式在 Google Play 以外的安裝作業。這樣一來,攻擊者 就必須設法說服使用者手動安裝受影響的 應用程式。

3. 哪些裝置可能會受到影響?

Google 已確認這項惡意攻擊可在 Nexus 5 和 Nexus 6 上運作,不過所有 未經修補的 Android 版本都含有這項漏洞。

4. Google 是否已有這個安全漏洞遭人濫用的證據?

是的,Google 已發現證據,確定有人透過可公開取得的 Root 權限獲取工具 在 Nexus 5 上濫用此漏洞。不過,Google 尚未發現可歸類為 「惡意」的運用情形。

5. 如何解決這個問題?

Google Play 已禁止企圖運用 這個問題的應用程式上架。同樣地,「驗證應用程式」會針對嘗試運用此問題的應用程式, 封鎖在 Google Play 以外的安裝作業。此外,只要 更新程式準備就緒,Google Nexus 裝置就會立即安裝 修補程式,我們也已通知 Android 合作夥伴,讓他們能同時發佈類似的更新程式。

6. 如何判斷我的裝置是否已安裝此問題的修正程式?

Android 已向合作夥伴提供兩種方法,方便他們確認自己的裝置 不會受到此問題影響。安全修補等級日期為 2016 年 3 月 18 日 的 Android 裝置不受影響。安全修補等級日期 在 2016 年 4 月 2 日之後的 Android 裝置也不受此問題影響。請參閱 這篇文章, 瞭解如何查看安全修補等級。

修訂版本

  • 2016 年 3 月 18 日:發布補充公告。