Oplysninger om en nul-dag vulnerbility påvirker Android mobile operativsystem har været offentliggjort online i går, 4 September.
Sårbarheden er bosat i, hvordan Video til Linux (V4L2) driver, der fulgte med Android OS håndterer input-data.
Fodring føreren ondsindede input kan give en hacker mulighed for at øge deres adgang fra en ydmyg bruger til root-adgang.
Den gode nyhed er, at denne sårbarhed — kategoriseret som en rettighedsforøgelse problem — kan ikke udnyttes eksternt. Angribere har brug for adgang lokalt, hvilket betyder, at de skal til at plante skadelig kode på enheden på forhånd.
Denne zero-day kan ikke bruges til at bryde ind i brugernes telefoner, men det kan bruges til at lave hacks meget værre, ved at tillade angribere at tage fuld kontrol over en enhed, skal du skrive den første infektion.
Zero-day kan være nemt weaponized
Et scenarie, hvor dette nul-dag, der kan komme i handy, når malware forfattere bundle er det inden for ondsindede apps de distribuerer via den officielle Play Butik eller via en tredjeparts-app-butikker.
Når brugeren installerer en af disse ondsindede programmer, zero-day kan give ondsindede app root-adgang, og app ‘ en kan derefter udføre alle operationer, som det ønsker, — at stjæle brugerens data, hente andre apps, osv..
Dette er, hvordan alle rettighedsforøgelse fejl, er normalt bruges på Android-enheder.
Nogle sikkerhedseksperter kan nedtone betydningen af denne nul-dag — som ikke har modtaget et CVE-nummer endnu-men rettighedsforøgelse sårbarheder er meget let at weaponize på Android-økosystemet, i modsætning til på de fleste andre operativsystemer, hvor de skal ikke betragtes som en prioritet.
For eksempel, i dag er der mange ondsindede Android-apps, der kommer bundtet med den Beskidte KO rettighedsforøgelse udnytte der gør det muligt for apps opnå root adgang på ældre Android-smartphones.
Android-udviklere var anmeldt, men har undladt at levere en patch
Men på trods af en historie af ondsindede apps misbruger rettighedsforøgelse bugs til at få root-adgang, vedligeholderne af Android Open Source Projekt (AOSP) har ikke lappet denne ene.
De havde al tid i verden, da spørgsmålet blev først indberettet til AOSP tilbage i Marts i år, efter at være blevet opdaget af to Trend Micro sikkerhedseksperter. På trods af acknowleding fejlrapporten og lovende en patch fix kom aldrig.
I går, Trend Micro forskere gik til offentligheden med deres resultater, efter at Google offentliggjorde i September 2019 Android-Sikkerhedsbulletin, som ikke inkluderer en løsning for deres fejl.
For øjeblikket, der er ingen nem løsning for at forhindre ondsindede apps fra at udnytte dette spørgsmål.
Sikkerhed
Android Google Play app med 100 millioner downloads begynder at levere malware
Microsoft: Brug af multi-faktor-autentificering blokke 99,9% af konto hacks
En ny tingenes internet botnet er at inficere Android-baseret set top-bokse
Skam over SHA-2: Symantec dumper grundlæggende programmering (ZDNet YouTube)
Den bedste DIY sikkerhed i hjemmet systemer i 2019 (CNET)
Den største cybersecurity risici i den finansielle sektor (TechRepublic)
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre