Outro dia, outra revelação de um unpatched vulnerabilidade crítica de dia zero, desta vez no sistema operacional do mundo mais amplamente utilizado móvel, Android.
O que mais? A vulnerabilidade zero-day Android também tem sido encontrado para ser explorado na natureza pelo fornecedor de vigilância israelense NSO Grupo infame para a venda de explorações de dia zero para os governos, ou um dos seus clientes, para ganhar o controle de dispositivos Android dos seus alvos.
Descoberto por Project Zero pesquisador Maddie Stone, os detalhes e uma prova de conceito explorar para a vulnerabilidade de segurança de alta gravidade, acompanhou como CVE-2019-2215, foi tornado público hoje, apenas sete dias depois do relatório para a segurança Android equipe.
O zero-day é uma vulnerabilidade de uso após livre no motorista aglutinante do kernel do Android que pode permitir que um atacante privilegiado local ou um app para escalar os seus privilégios para ter acesso raiz para um dispositivo vulnerável e potencialmente assumir o controle remoto completo do dispositivo.
Dispositivos Android vulneráveis
A vulnerabilidade reside em versões do kernel do Android lançados antes abril do ano passado, um patch para o qual foi incluído no kernel 4.14 LTS Linux lançado em dezembro 2017, mas só foi incorporado em versões do kernel AOSP Android 3.18, 4.4 e 4.9.
Portanto, a maioria dos dispositivos Android fabricados e vendidos pela maioria dos fornecedores com o kernel sem correção ainda são vulneráveis a esta vulnerabilidade, mesmo depois de ter as últimas atualizações do Android, incluindo abaixo listados modelos de smartphones populares:
Pixel 1
Pixel um XL
Pixel 2
Pixel 2 XL
Huawei P20
Xiaomi redmi 5A
Xiaomi redmi Nota 5
Xiaomi A1
Oppo A3
Moto Z3
telefones Oreo LG
Samsung S7
Samsung S8
Samsung S9
Para ser notado, Pixel 3, 3 XL, e dispositivos 3a executando os kernels mais recentes do Android não são vulneráveis ao problema.
Flaw Android pode ser explorada remotamente
Segundo o pesquisador, uma vez que a questão é “acessível a partir de dentro da sandbox do Chrome”, o kernel do Android vulnerabilidade zero-day também pode ser explorada remotamente, combinando-o com uma falha de renderização Chrome separado.
“O bug é uma vulnerabilidade de elevação de privilégios local que permite a um compromisso cheio de um dispositivo vulnerável. Se o exploit é entregue através da Web, ele só precisa ser emparelhado com um renderizador de explorar, como esta vulnerabilidade é acessível através da caixa de areia” stone diz no blog Chromium.
“Anexei um local de exploração de prova de conceito para demonstrar como esse bug pode ser usado para ganhar do kernel arbitrário de leitura / gravação ao executar localmente. Ele só exige a execução de código aplicativo não confiável para explorar CVE-2019-2215. I’ ve também anexada uma tela (success.png) do COP sendo executado em um pixel 2, rodando Android 10 com nível de segurança remendo setembro de 2019.”
Patches para ser disponíveis em breve
Embora o Google irá lançar um patch para essa vulnerabilidade em seu Boletim de Segurança Android em outubro nos próximos dias e OEMs também notificados, os dispositivos mais afetados provavelmente não receberá o patch imediatamente, ao contrário do Google Pixel 1 e 2.
“Esta questão é classificada como alta gravidade no Android e, por si só requer a instalação de um aplicativo malicioso para exploração potencial. Quaisquer outros vetores, como via web browser, requerem encadeamento com explorar um adicional”, a equipe de segurança do Android, em um comunicado.
“Nós notificado parceiros Android, e o patch está disponível no Android Kernel comum. Pixel 3 e 3a dispositivos não são vulneráveis, enquanto pixel 1 e 2 dispositivos estará recebendo atualizações para este problema como parte da atualização de outubro.”
divisão de Project Zero do Google normalmente dá aos desenvolvedores de software um prazo de 90 dias para corrigir o problema em seus produtos afetados antes de ir a público com os detalhes e exploits POC, mas em caso de exploits ativos, a equipe vem a público após sete dias de forma privada que está sendo relatado.