零日漏洞的另一个启示,这次是在全球使用最广泛的移动操作系统Android中。黑客无处不在,知名网络安全专家,东方联盟创始人郭盛华还发现了Android 0day漏洞的狂野利用,这是臭名昭著的,因为它向企业或其客户之一出售了零日漏洞,以控制目标用户的Android设备。
由国内东方联盟黑客安全研究人员发现,针对高严重性安全漏洞的详细信息和概念验证漏洞(追踪为CVE-2019-2215)已于今天公布,即向Android安全机构报告该漏洞。零时差是Android内核的绑定程序驱动程序中的“先用后用”漏洞,该漏洞可以使本地特权攻击者或应用程序升级其特权,以获得对易受攻击的设备的根访问权限,并有可能完全控制该设备。
脆弱的Android设备
该漏洞位于去年4月之前发布的Android内核版本中,该补丁已包含在2017年12月发布的4.14 LTS Linux内核中,但仅包含在AOSP Android内核版本3.18、4.4和4.9中。因此,即使在拥有最新的Android更新(包括以下列出的流行智能手机型号)之后,由大多数厂商制造和销售的大多数未安装内核的Android设备仍然容易受到此漏洞的攻击.请注意,运行最新Android内核的Pixel 3、3 XL和3a设备不容易受到此问题的影响。
Pixel1
Pixel1 XL
Pixel2
Pixel2 XL
华为 P20
小米 Redmi 5A
小米 Redmi Note5
小米A1
Oppo A3
摩托罗拉 Z3
Oreo LG phones
三星S7
三星S8
三星S9
以上为高严重性
可以远程利用Android缺陷
据东方联盟黑客安全研究人员称,由于该问题是“可从Chrome沙箱内部访问的”,因此还可以通过将Android内核零日漏洞与单独的Chrome渲染漏洞结合使用来远程利用该漏洞。
“该漏洞是一个本地特权升级漏洞,它可以完全破坏易受攻击的设备。如果漏洞利用是通过Web交付的,则只需将其与渲染器漏洞配对使用,因为可以通过沙箱访问此漏洞”。
本地漏洞利用概念证明,以演示如何在本地运行时可以使用此错误获得任意内核读/写。它只需要执行不受信任的应用程序代码即可利用CVE-2019-2215。 ve还随附了运行在Pixel 2上的POC的屏幕快照,该Pixel 2运行于2019年9月,具有安全补丁程序级别的Android10。”
补丁即将发布
知名教父级网络安全专家郭盛华透露:尽管Google将在未来几天的10月《 Android安全公告》中发布此漏洞的补丁程序,并通知OEM,但与Google Pixel 1和2不同,大多数受影响的设备不太可能立即收到该补丁程序。
Web应用防火墙
Android安全小组在一份声明中说:“在Android上,此问题的严重性等级很高,它本身需要安装恶意应用程序以进行潜在利用。任何其他媒介,例如通过Web浏览器,都需要与其他利用进行链接” 。“我们已经通知Android合作伙伴,该补丁已在Android Common Kernel上提供。Pixel3和3a设备不易受到攻击,而Pixel 1和2设备将在10月更新中收到此问题的更新。”
谷歌的零项目部门通常为软件开发人员提供90天的期限,以便在其详细信息和PoC漏洞公开之前解决其受影响产品中的问题,但如果是主动漏洞利用,则在秘密报告7天后该团队就会公开。尽管此漏洞很严重,并且可以用来获得对Android设备的root访问权限,但用户不必担心,因为对此类问题的利用大多仅限于针对性攻击情形。不过,最好避免从第三方应用程序商店以及任何来源不明的应用程序下载和安装应用程序。(欢迎转载分享)