Information om en zero-day vulnerbility påverkar Android mobila operativsystem har publicerats på nätet, i går, den 4 September.
Sårbarheten finns i hur Video för Linux (V4L2) förare som ingår i Android OS hanterar indata.
Utfodring föraren skadliga ingång kan tillåta en angripare att höja deras tillgång från en ödmjuk användaren root-åtkomst.
Den goda nyheten är att denna sårbarhet — kategoriseras som en utökning av privilegier fråga-inte kan utnyttjas på distans. Angripare behöver för lokal tillgång, vilket innebär att de måste plantera skadlig kod på enheten i förväg.
Denna noll-dagen kan inte användas för att bryta sig in i användarnas telefoner, men det kan användas för att göra hacka mycket värre, genom att tillåta en angripare att ta full kontroll över en enhet, efter den ursprungliga infektionen.
Zero-day kan vara lätt weaponized
Ett scenario där detta zero-day kan komma till hands är när malware författare bundle det inom skadliga program som de distribuerar via den officiella Play Store eller genom tredje parts app-butiker.
Efter att användaren installerar en av dessa skadliga program, zero-day kan ge skadlig app root-åtkomst, och appen kan då utföra de operationer man vill — stjäla användarens data, ladda ner andra appar, etc..
Detta är hur alla utökning av privilegier buggar som normalt används på Android-enheter.
Vissa säkerhetsexperter kan spela ned betydelsen av detta zero-day-som inte har fått en CVE antalet ännu, men utökning av privilegier sårbarheter är mycket lätt att weaponize på Android-ekosystemet, till skillnad från de flesta andra operativsystem, där de inte anses vara en prioritet.
Till exempel, numera, många skadliga Android-appar levereras med den Smutsiga KO utökning av privilegier utnyttja som låter apps få root-åtkomst på äldre Android-smartphones.
Android-devs var anmälda, men misslyckades med att leverera en patch
Men trots en historia av skadliga appar missbrukar utökning av privilegier buggar för att få root-åtkomst, utvecklarna av Android Open Source Project (AOSP) har inte korrigeras på detta.
De hade all tid i världen, eftersom frågan var första rapporterade att AOSP tillbaka i Mars i år, efter att ha upptäckts av två Trend Micro säkerhet forskare. Trots acknowleding felrapporten och utlovar en lapp, fix kom aldrig.
Igår, Trend Micro forskare gick ut offentligt med sina resultat efter Google publicerad den September 2019 Android Security Bulletin, som inte har en fix för sina fel.
För tillfället, det finns ingen enkel lösning för att förhindra att skadliga program från att utnyttja denna fråga.
Säkerhet
Android på Google Play app med 100 miljoner nedladdningar börjar leverera malware
Microsoft: med Hjälp av multi-faktor autentisering block 99,9% av konto hacks
En ny sakernas internet botnet är att infektera Android-baserade set-top-boxar
Synd om SHA-2: Symantec flunkar grundläggande programmering (ZDNet YouTube)
Den bästa DIY home security system av 2019 (CNET)
De största it-säkerhet risker i den finansiella sektorn (TechRepublic)
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter