[تحديث: patched] استغلالها بشكل فعال الضعف اليوم صفر وجدت في جوجل بكسل ، هواوي ، Xiaomi ، سامسونج ، وغيرها من الأجهزة

التحديث 10/10/19 @ 3:05 صباحًا بتوقيت شرق الولايات المتحدة: تم تصحيح ثغرة أمنية في أندرويد في يوم صفر مع تصحيح الأمان بتاريخ 6 أكتوبر 2019. انتقل إلى أسفل لمزيد من المعلومات. تم الحفاظ على المقالة كما نشرت في 6 أكتوبر 2019 ، على النحو التالي.

يعد الأمان أحد الأولويات العليا في تحديثات Android الأخيرة ، حيث تمثل التحسينات والتغييرات في التشفير والأذونات والمعالجة المتعلقة بالخصوصية بعضًا من ميزات العناوين الرئيسية. تهدف مبادرات أخرى مثل Project Mainline لنظام Android 10 إلى تسريع التحديثات الأمنية من أجل جعل أجهزة Android أكثر أمانًا. كانت Google أيضًا مجتهدة ومتقادمة مع تصحيحات الأمان ، وبينما تستحق هذه الجهود الثناء بحد ذاتها ، سيظل هناك دائمًا مجال للاستغلال ونقاط الضعف في نظام التشغيل مثل Android. كما اتضح ، تم العثور على المهاجمين يستغلون بنشاط ضعف اليوم صفر في Android الذي يسمح لهم بالسيطرة الكاملة على هواتف معينة من Google و Huawei و Xiaomi و Samsung وغيرها.

كشف فريق Project Zero من Google عن معلومات حول استغلال Android لمدة صفر يومًا ، والذي يُنسب استخدامه النشط إلى مجموعة NSO ، على الرغم من أن ممثلي NSO رفضوا استخدام ذلك إلى ArsTechnica . هذا الاستغلال عبارة عن تصعيد لامتياز kernel يستخدم ثغرة أمنية في الاستخدام بعد الاستخدام ، مما يسمح للمهاجم بخرق جهاز ضعيف تمامًا وتثبيته. نظرًا لاستغلال الوصول أيضًا من صندوق Chrome ، يمكن أيضًا تسليمه عبر الويب بمجرد إقرانه باستغلال يستهدف مشكلة عدم الحصانة في الرمز في Chrome الذي يتم استخدامه لتقديم المحتوى.

بلغة أبسط ، يمكن للمهاجم تثبيت تطبيق ضار على الأجهزة المتأثرة وتحقيق الجذر دون علم المستخدم ، وكما نعلم جميعًا ، يتم فتح الطريق بالكامل بعد ذلك. ونظرًا لأنه يمكن ربطه باستغلال آخر في متصفح Chrome ، يمكن للمهاجم أيضًا تقديم التطبيق الضار من خلال متصفح الويب ، مما يلغي الحاجة إلى الوصول الفعلي إلى الجهاز. إذا كان هذا يبدو خطيرًا بالنسبة لك ، فذلك لأنه بالتأكيد - تم تصنيف الثغرة الأمنية على أنها "درجة عالية من الخطورة" على Android. والأسوأ من ذلك ، أن هذا الاستغلال لا يتطلب سوى تخصيص قليل لكل جهاز على حدة ، كما أن الباحثين في Project Zero لديهم أيضًا دليل على استغلالهم في البرية.

تم تصحيح الثغرة الأمنية على ما يبدو في ديسمبر 2017 في إصدار Linux Kernel 4.14 LTS ولكن دون تتبع CVE. تم دمج الإصلاح بعد ذلك في الإصدارات 3.18 و 4.4 و 4.9 من نواة Android. ومع ذلك ، لم يصل الإصلاح إلى تحديثات الأمان لنظام Android ، مما يترك العديد من الأجهزة عرضة لهذا الخطأ الذي يتم تتبعه الآن باسم CVE-2019-2215.

فيما يلي قائمة الأجهزة "غير الشاملة" التي تم العثور عليها متأثرة:

  • جوجل بكسل
  • جوجل بكسل XL
  • جوجل بكسل 2
  • جوجل بكسل 2 XL
  • هواوي P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi Mi A1
  • ممن لهم A3
  • موتو Z3
  • هواتف LG على Android Oreo
  • Samsung Galaxy S7
  • Samsung Galaxy S8
  • Samsung Galaxy S9

ومع ذلك ، كما ذكرنا ، هذه ليست قائمة شاملة ، مما يعني أن العديد من الأجهزة الأخرى من المحتمل أن تتأثر أيضًا بهذه الثغرة الأمنية على الرغم من وجود تحديثات أمان لنظام Android جديدة مثل تلك التي ظهرت في سبتمبر 2019. Google Pixel 3 و Pixel 3 XL يقال إن Google و Pixel 3a و Pixel 3a XL في مأمن من مشكلة عدم الحصانة هذه. ستتأثر أجهزة Pixel المتأثرة بالثغرة الأمنية في التحديث الأمني ​​الذي سيتم إصداره في Android في أكتوبر 2019 ، والذي يجب أن يتم تشغيله خلال يوم أو يومين. تم توفير تصحيح لشركاء Android "من أجل ضمان حماية النظام البيئي لنظام Android من هذه المشكلة" ، ولكن لمعرفة مدى اهتمام بعض شركات تصنيع المعدات الأصلية المهتمة وغير المستبدة بالتحديثات ، فلن نضع أنفاسنا عند تلقي الإصلاح في الوقت المناسب الطريقة.

شارك فريق بحث Project Zero استغلالًا محليًا لإثبات صحة المفهوم لشرح كيفية استخدام هذا الخطأ للحصول على قراءة / كتابة kernel عشوائية عند تشغيله محليًا.

وعد فريق البحث في Project Zero بتقديم شرح أكثر تفصيلًا عن الخطأ ومنهجية تحديده في منشور مدونة مستقبلي. يرى ArsTechnica أن هناك فرصًا ضئيلة جدًا للاستغلال من قبل الهجمات باهظة الثمن ومستهدفة مثل هذه الهجمات ؛ ويجب على المستخدمين الاستمرار في تثبيت التطبيقات غير الضرورية واستخدام متصفح غير كروم حتى يتم تثبيت التصحيح. في رأينا ، نضيف أنه سيكون من الحكمة أيضًا البحث عن تصحيح الأمان في أكتوبر 2019 لجهازك وتثبيته في أسرع وقت ممكن.

المصدر: مشروع صفر

قصة عن طريق: ArsTechnica


التحديث: تم تصحيح مشكلة عدم حصانة Android Zero-day مع التحديث الأمني ​​لشهر أكتوبر 2019

تم تصحيح CVE-2019-2215 المتعلقة بضعف تصاعد امتيازات kernel المذكور أعلاه بتصحيح الأمان في أكتوبر 2019 ، وتحديداً بمستوى تصحيح الأمان 2019-10-06 ، كما وعدت. في حالة توفر تحديث أمني لجهازك ، نوصي بشدة بتثبيته في أقرب وقت ممكن.

المصدر: نشرة الأمن الروبوت

عبر: تويتر: @ مديديستون