[업데이트 : 패치 됨] Google Pixel, Huawei, Xiaomi, Samsung 및 기타 장치에서 발견 된 제로 데이 취약점을 적극적으로 악용

ET : 제로 데이 안드로이드 취약점은 2019 년 10 월 6 일 보안 패치로 패치되었습니다. 자세한 내용을 보려면 맨 아래로 스크롤하십시오. 2019 년 10 월 6 일에 게시 된 기사는 다음과 같이 보존됩니다.

보안은 최근 Android 업데이트에서 최우선 순위 중 하나였으며 암호화, 권한 및 개인 정보 관련 처리의 개선 및 변경이 주요 기능 중 일부였습니다. Android 10 용 Project Mainline과 같은 다른 이니셔티브는 Android 기기를보다 안전하게 만들기 위해 보안 업데이트 속도를 높이는 것을 목표로합니다. Google은 또한 보안 패치를 통해 부지런하고 정중했으며, 이러한 노력은 자체적으로 칭찬 할 수 있지만 항상 Android와 같은 OS의 악용 및 취약성에 대한 범위는 계속 남아 있습니다. 공격자가 구글, 화웨이, 샤오 미, 삼성 등의 특정 전화를 완전히 제어 할 수있는 제로 데이 취약점을 적극적으로 악용하는 것으로 밝혀졌다.

구글의 프로젝트 제로 팀은 제로 데이 안드로이드 익스플로잇에 대한 정보를 공개했다. NSO의 대표자들은 ArsTechnica 에 대한 그것의 사용을 거부했지만 NSO 그룹이 적극적으로 사용하고 있다고한다. 이 악용은 무료 사용 후 취약점을 사용하는 커널 권한 에스컬레이션으로, 공격자가 취약한 장치를 완전히 손상시키고이를 근절 할 수 있습니다. 익스플로잇은 Chrome 샌드 박스에서도 액세스 할 수 있으므로 웹 렌더링을 통해 콘텐츠를 렌더링하는 데 사용되는 Chrome 코드의 취약점을 대상으로하는 익스플로잇과 함께 웹을 통해 제공 될 수도 있습니다.

간단한 언어로 공격자는 영향을받는 장치에 악의적 인 응용 프로그램을 설치하고 사용자 모르게 루트를 얻을 수 있으며, 우리 모두가 알다시피 그 길은 완전히 열립니다. 또한 Chrome 브라우저에서 다른 익스플로잇과 연결될 수 있으므로 공격자는 웹 브라우저를 통해 악성 애플리케이션을 제공하여 장치에 물리적으로 액세스 할 필요가 없습니다. 이것이 당신에게 진지하게 들린다면, 그것은 취약점 때문인 것입니다.이 취약점은 Android에서 "높은 심각도"로 평가되었습니다. 더구나, 이 익스플로잇은 기기 별 커스터마이즈가 거의 필요하지 않으며 Project Zero의 연구원들도 익스플로잇이 실제로 사용되고 있다는 증거를 가지고 있습니다.

이 취약점은 2017 년 12 월 Linux Kernel 4.14 LTS 릴리스에서 패치되었지만 CVE 추적 기능은 없었습니다. 그런 다음 수정 사항은 Android 커널 버전 3.18, 4.4 및 4.9에 통합되었습니다. 그러나이 수정 프로그램은 Android 보안 업데이트에 적용되지 않았으므로 현재 일부 CVE-2019-2215로 추적되는이 결함에 취약한 여러 장치가 남아 있습니다.

영향을받는 것으로 밝혀진 "비 제한적"장치 목록은 다음과 같습니다.

  • 구글 픽셀
  • 구글 픽셀 XL
  • 구글 픽셀 2
  • 구글 픽셀 2 XL
  • 화웨이 P20
  • Xiaomi Redmi 5A
  • 샤오 미 레드 미 노트 5
  • Xiaomi Mi A1
  • 오포 A3
  • 모토 Z3
  • Android Oreo의 LG 전화
  • 삼성 갤럭시 S7
  • 삼성 갤럭시 S8
  • 삼성 갤럭시 S9

그러나 언급 한 바와 같이이 목록은 완전한 목록이 아니므로 2019 년 9 월의 새로운 Android 보안 업데이트에도 불구하고 다른 여러 장치에서도이 취약점의 영향을받을 수 있습니다. Google Pixel 3 및 Pixel 3 XL Google Pixel 3a 및 Pixel 3a XL은이 취약점으로부터 안전하다고합니다. 영향을받는 Pixel 장치는 곧 출시 될 2019 년 10 월 Android 보안 업데이트에서 취약점이 패치되어 하루나 이틀 후에 업데이트됩니다. “Android 에코 시스템을 문제로부터 보호하기 위해”Android 파트너가 패치를 사용할 수 있었지만 특정 OEM이 업데이트에 대해 부주의하고 무관심한 것을 확인한 후에는시의 적절하게 수정 사항을받는 것에 대해 숨을 쉬지 않을 것입니다. 방법.

Project Zero 리서치 팀은 로컬에서 실행될 때이 버그를 사용하여 임의의 커널 읽기 / 쓰기를 얻는 방법을 보여주기 위해 로컬 개념 증명 익스플로잇을 공유했습니다.

Project Zero 리서치 팀은 버그에 대한 자세한 설명과 향후 블로그 게시물에서 버그를 식별하는 방법론을 제공하기로 약속했습니다. ArsTechnica 는 이처럼 비싸고 표적이되는 공격에 의해 악용 될 가능성이 극히 적다고 생각합니다. 패치가 설치 될 때까지 사용자는 필수가 아닌 앱 설치를 계속 유지하고 Chrome 이외의 브라우저를 사용해야합니다. 우리의 견해로는 2019 년 10 월 보안 패치를 찾아 가능한 빨리 설치하는 것이 좋습니다.

출처 : Project Zero

스토리 비아 : ArsTechnica


업데이트 : Zero Day Android 취약점이 2019 년 10 월 보안 업데이트로 패치되었습니다.

위에서 언급 한 커널 권한 에스컬레이션 취약점과 관련된 CVE-2019-2215는 2019 년 10 월 보안 패치, 특히 보안 패치 수준 2019-10-06으로 패치되었습니다. 장치에 대한 보안 업데이트가 제공되는 경우 최대한 빨리 설치하는 것이 좋습니다.

출처 : Android 보안 게시판

경유 : 트위터 : @maddiestone