Zranitelnost v OS Android
7. 10. 2019
Zranitelnost v OS Android

Projekt Zero společnosti Google, v rámci kterého výzkumníci z celého světa hledají zero-day zranitelnosti, má další nález. Jeden z členů tohoto projektu na konci září objevil zranitelnost v operačním systému Android, která umožňuje útočníkovi převzít úplnou kontrolu nad zařízením. Zároveň potvrdil, že je zranitelnost již zneužívána útočníky.

Tento problém byl opraven v jádře systému již v prosinci 2017, ale pouze v některých verzích. V současnosti je potvrzena zranitelnost u modelů vypsaných níže, tento seznam však není kompletní a může se rozšiřovat.

  • Pixel 1, Pixel 2
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Mobilní telefony značky LG s operačním systémem Android 8.0 Oreo
  • Samsung S7, S8, S9


Objevená zranitelnost spočívá v získání root oprávnění a tím pádem má útočník plný přístup k operačnímu systému telefonu. Exploitace zranitelnosti je možná pomocí instalace škodlivé aplikace nebo kombinací této zranitelnosti a zranitelnosti v Chrome prohlížeči. Informace o této zranitelnosti lze najít pod označením CVE-2019-2215.

Zranitelnost je v rámci projektu Zero hodnocena jako vysoká, ale její zneužití vyžaduje instalaci škodlivé aplikace nebo využití jiné zranitelnosti. Z tohoto důvodu není pravděpodobné, že by došlo k jejímu hromadnému zneužívání. Naopak bude spíše využita k cílenému útoku na konkrétní osoby.

Záplata pro modely Pixel přijde společně s říjnovým Security Release. Co se týká ostatních značek mobilních telefonů, výrobci již byly o této zranitelnosti informováni a je jen na nich, kdy pro svoje modely vydají příslušnou záplatu.

Použité zdroje:
https://arstechnica.com/information-technology/2019/10/attackers-exploit-0day-vulnerability-that-gives-full-control-of-android-phones/
https://bugs.chromium.org/p/project-zero/issues/detail?id=1942
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2215

 

David Pecl, AEC David Pecl
Security Specialist
AEC a.s.