近日,据外媒BleepingComputer报道,谷歌威胁分析团队(TAG)称,一个最新的安卓0 day漏洞或被用于攻击谷歌Pixel、华为、小米和三星以及OPPO等智能手机。
该漏洞是由谷歌Project Zero研究人员Maddie Stone发现,其CVE编号为CVE-2019-2215,从谷歌Pixel、华为、小米、三星到OPPO等在内的至少18个型号的手机存在该漏洞。
顺便说一下,谷歌Project Zero团队近年来颇受关注,因为该团队发现一些重大安全漏洞。2014年7月,谷歌宣布成立互联网安全项目Project Zero,该团队主要由谷歌内部顶尖的安全工程师组成,旨在发现、跟踪和修补全球性的软件安全漏洞。
据悉,它是安卓kernel的binder驱动的UAF漏洞,攻击者利用该漏洞可将本地用户或APP进行权限提升最终获取受影响设备的root权限。并且,还有可能远程控制设备。
根据Maddie Stone的说法,CVE-2019-2215的漏洞会影响“大多数2018年秋季之前的Android设备”。
谷歌Project Zero团队已经确认下列Android设备易受攻击:
- 使用Android 9和Android 10预览版的Pixel 1和2(以及XL)
- 三星S7、S8、S9
- 华为P20
- 红米5A
- 红米Note 5
- 小米A1
- OPPO A3
- Moto Z3
- Oreo LG手机
谷歌Project Zero团队一般会在90天后披露漏洞,而被主动利用的漏洞则需要7天的披露期限。
Stone说:“在7天或补丁广泛发布后,漏洞报告将向公众披露。”
为证明该漏洞可被利用获取本地任意kernel读写权限,研究人员创建了本地的PoC漏洞利用。只需要非可信的APP代码执行就可以利用该漏洞。
下图是在运行安卓10(安全补丁日期为2019年9月)的Pixel 2设备上的PoC演示:
据了解,存在漏洞的安卓kernel版本发布时间早于2018年4月,2017年12月发布的包含补丁的4.14 LTS Linux kernel只包含在AOSP 安卓kernel v3.18、4.4和4.9版本中。
谷歌的威胁分析团队表示,“据称该漏洞是由NSO使用或出售的。”据悉,NSO是一家以色列公司,它以开发、利用和销售安卓和iOS间谍软件等漏洞利用和工具而闻名,比如相当危险的手机间谍软件Pegasus即出自该公司。
尽管成功利用此漏洞可以使潜在的攻击者完全控制受感染的安卓设备,但不能将其用于远程破坏设备。
AOSP声明说,“在Android上,此问题的严重性等级很高,它本身需要安装恶意应用程序才能进行潜在利用。任何其他媒介,例如通过Web浏览器,都需要与其他利用结合起来。”
“我们已经通知Android合作伙伴,并且该补丁已在Android Common Kernel上提供。Pixel 3和3a设备不易受到攻击,而Pixel 1和2设备将在10月更新中收到此问题的更新。”
相关文章:
Actively Exploited Android Zero-Day Impacts Google, Samsung Devices