В Android появилась «дыра», позволяющая удалённо «рутовать» смартфоны Huawei, Xiaomi, Samsung и Oppo
Эксперты Google обнаружили, что во множестве устройств под Android, выпущенных до осени 2018 г., проявилась уязвимость, позволяющая удалённо повышать привилегии в системе и захватывать контроль над ней. «Баг» уже активно эксплуатируют злоумышленники.
Рутинг через веб, без особых усилий
Эксперты Google Threat Analysis Group объявили об обнаружении уязвимости нулевого дня в операционной системе Android, которой уже вовсю пользуются злоумышленники. Уязвимость CVE-2019-2215 угрожает пользователям устройств Google Pixel, а также смартфонов и планшетов на базе Android, разработанных Huawei, Xiaomi, Samsung, Oppo, Moto и Oreo.
Проблема вызвана наличием ошибки use-after-free (использование области памяти после освобождения) в драйвере фреймворка межпроцессного взаимодействия Binder. Эта уязвимость может эксплуатироваться удалённо и в теории позволяет злоумышленникам повышать свои привилегии в локальной системе на уровне ядра. В конечном счёте, «баг» позволяет удалённо «рутовать» (получать права суперпользователя) устройство. Уязвимость CVE-2019-2215 может эксплуатироваться двумя способами: либо через специально подготовленное вредоносное приложение, либо через онлайновые атаки. Во втором случае злоумышленникам потребуется спаривать эксплойт к этой уязвимости с ещё одним, направленным на уязвимость в коде браузера Chrome.
По утверждению эксперта Threat Analysis Group Мэдди Стоун (Maddie Stone), уязвимость затрагивает «большинство устройств под Android выпущенных до осени 2018 года», и один и тот же эксплойт сработает на всех устройствах с минимальной «адаптацией» под разные модели или вовсе без таковой.
Кто опять это сделал?
Стоун также отметила, что у неё есть «техническая информация» о том, что уязвимость использовалась NSO Group или кем-то из её клиентов. NSO — это израильская фирма, занимающаяся поиском уязвимостей в мобильных операционных системах и созданием и продажей эксплойтов к ним. NSO, однако, утверждает, что никакого отношения к эксплуатации данной уязвимости не имеет.
Интересно, что тот же самый «баг» был обнаружен и исправлен в декаре 2017 г. в ядре 4.14 LTS Linux (без присвоения индекса CVE) и в ядре Android версий 3.18, 4.4 и 4.9. Однако затем уязвимость каким-то образом снова появилась в Android.
«Интересно, что несмотря на очевидную угрозу, которую представляет данная уязвимость, ей присвоен статус High Severity («высокая степень серьёзности»), но не Critical, хотя речь идёт о возможности удалённого захвата контроля над устройством без особых усилий, - отметила Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Также обращает на себя внимание факт повторного появления уже исправленной уязвимости; совсем недавно, например, Apple пришлось повторно «лечить» уязвимость в iOS, которая по каким-то причинам вернулась в код после её устранения».
На данный момент подтверждено наличие уязвимости в следующих устройствах: Google Pixel 1, Pixel 1 XL, Pixel 2, Pixel 2 XL на базе Android 9 и Android 10 Preview; Samsung S7-S9; Huawei P20; Xiaomi A1, Redmi 5A и Redmi Note 5; Oppo A3; Moto Z3; также уязвимы смартфоны серии Oreo LG.
Ввиду того, что уязвимость активно эксплуатируется, эксперты Google опубликовали сведения о «баге» всего через неделю после обнаружения.
Устройства Google Pixel получат патчи в октябрьском кумулятивном обновлении для Android. Когда то же самое случится с другими устройствами, зависит от их производителей.