Google diffusi oggi che hanno trovato prove di un Android senza patch vulnerabilità essere utilizzati in attacchi nel mondo reale-un cosiddetto “zero-day”.
La vulnerabilità risiede nel sistema operativo Android kernel del codice e può essere utilizzato per aiutare un utente malintenzionato di ottenere l’accesso root al dispositivo.
Ironia della sorte, la vulnerabilità è stata patch nel dicembre 2017 in Android versioni del kernel 3.18, 4.14, 4.4 e 4.9, ma le versioni più recenti sono stati trovati per essere vulnerabili.
Google ricercatori ritengono che la vulnerabilità, impatti seguenti modelli di telefoni Android, sistema operativo Android 8.x e versioni successive:
Pixel 2 con Android 9 e Android 10 previewHuawei P20Xiaomi Redmi 5AXiaomi Redmi Nota 5Xiaomi A1Oppo A3Moto Z3Oreo LG phonesSamsung S7, S8, S9
Google ricercatori hanno anche detto che il “sfruttare richiede poca o nessuna per ogni dispositivo di personalizzazione”, il che significa che dovrebbe essere in grado di lavorare su una vasta gamma di telefoni, anche se non hanno confermato questo manuale giudizi, come hanno fatto per i dispositivi sopra elencati.
Google: Zero-day collegato a NSO Gruppo
La vulnerabilità è stata scoperta da parte di Google Project Zero squadra, e poi confermato che sono stati utilizzati nel mondo reale attacchi da parte della società di Analisi delle Minacce Group (TAG). Queste sono le due squadre che hanno scoperto il mese scorso un lotto di 14 zero-giorni viene utilizzato contro gli utenti iOS.
Tuttavia, Android zero-day e iOS zero-giorni sembrano essere estranei. Mentre gli attacchi che gli utenti iOS sono stati collegati a un di stato Cinese gruppo sponsorizzato la conduzione di operazioni di sorveglianza contro i propri cittadini, i dettagli sull’Android zero-day sono attualmente limitate.
Google TAG ha detto che crede Android zero-day è il lavoro di NSO Gruppo, un noto Israeliano società con sede a noto di vendere exploit e strumenti di sorveglianza.
La società è stata criticata per la vendita di strumenti di hacking per regimi oppressivi, ma di fronte a crescenti critiche, si è recentemente impegnato a combattere i clienti che abusano i suoi strumenti per spiare innocenti o avversari politici. ZDNet ha inviato una richiesta di commento ad una società Israeliana, in cerca di conferme che questo è uno dei loro strumenti, e aggiorneremo l’articolo con la loro dichiarazione, se sentiamo di ritorno.
Non è così pericoloso come avrebbe potuto essere
La buona notizia è che Android zero-day non è così pericoloso come altri in passato di zero giorni. Per cominciare, non è un RCE ( esecuzione di codice remoto) che può essere sfruttato senza l’interazione dell’utente. Ci sono alcune condizioni che devono essere soddisfatte prima che un utente malintenzionato può sfruttare la vulnerabilità.
“Il problema è a livello di gravità su Android e di per sé richiede l’installazione di un’applicazione dannosa per il potenziale sfruttamento,” un portavoce per Android Open Source Project, ha detto. “Tutti gli altri vettori, come via web browser, richiedono il concatenamento con un ulteriore exploit.
“Abbiamo notificato Android partner e la patch è disponibile su Android Kernel Comune. Pixel 3 e 3a dispositivi non sono vulnerabili mentre Pixel 1 e 2 dispositivi a ricevere gli aggiornamenti di questo problema come parte dell’aggiornamento ottobre,” il team Android, ha detto.
Il giorno zero è ormai tracciata come CVE-2019-2215. Questo bug tracker voce dal Progetto Zero team tiene un proof-of-concept codice e ulteriori dettagli per il ricercatore di sicurezza che si desidera riprodurre il bug e testare altri dispositivi.
Sicurezza
Linux per ottenere kernel ‘lockdown’ caratteristica
Google di guerra di deepfakes: Come elezione telai, condivide tonnellata di AI-finto video
La maggior parte malspam contiene un URL maligno in questi giorni, non di file allegati
Ransomware: Perché pagare il riscatto è una cattiva idea per tutti nel lungo periodo (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Maggior parte delle aziende Fortune 500 ancora opachi sulle misure di sicurezza (TechRepublic)
Argomenti Correlati:
Mobile OS
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati