Googles Project Zero ga i praksis en rekke mobilleverandører en frist på bare sju dager til å få på plass en sikkerhetsfiks som fjerner en sårbarhet som er bekreftet på en rekke smartmobiler, inkludert Samsung Galaxy S7, S8 og S9, før prosjektet offentliggjorde detaljene nå i natt. Dette inkluderer også et konseptbevis for hvordan sårbarheten fungerer.
Den korte tidsfristen skyldes indikasjoner på at sårbarheten allerede blir utnyttet i aktive angrep, trolig basert på angrepskode som selges av NSO Group.
Full offentlighet
Det har nå gått sju dager siden sårbarheten ble varslet i lukkede fora. Detaljene, inkludert et konseptbevis, ble derfor offentliggjort i natt.
Kernel privilege escalation bug in Android affecting fully patched Pixel 2 & others. Reported under 7 day deadline due to evidence of in-the-wild exploit. @tehjh and I quickly wrote a POC to get arbitrary kernel r/w using this bug, released in tracker. https://t.co/x4Q1YxKczB
— Maddie Stone (@maddiestone) October 4, 2019
Det dreier seg om en «use after free»-sårbarhet som gjør det mulig for ondsinnet kode å eskalere sine privilegier på systemet slik at den får full kontroll over enheten. Dette skal være mulig å få til fra innsiden av sikkerhetssandkassen til Chrome. Det betyr likevel ikke at sårbarheten kan utnyttes direkte fra en webside. Men den kan utnyttes av ondsinnede applikasjoner installert på mobilen.
Linux-kjernen
Sårbarheten finnes i mange versjoner av Linux-kjernen. Den ble fjernet i desember 2017 i Linux 4.14 LTS-utgaven uten at det ble opprettet noen CVE (Common Vulnerabilities and Exposures). Den har senere blitt fjernet i flere Android-spesifikke utgaver av kjernen, men finnes likevel i enheter som Googles egen Pixel 2 med både Android 9 og testversjoner av Android 10.
Andre berørte enheter inkluderer Huawei P20, Xiaomi Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3, flere LG-mobiler og som nevnt, Samsung Galaxy S7, S8 og S9. Sannsynligvis er mange andre enheter også berørt.
De fleste av enhetene hvor sikkerhetsforskeren Maddie Stone har funnet sårbarheten, har vært utstyrt med Android 8. Det kan derfor være at sårbarheten ikke er til stede på disse enhetene dersom Android 9 eller nyere er tatt i bruk, men den finnes sannsynligvis i enheter med eldre versjoner av operativsystemet. Det hele avhenger helt av hvilken versjon av Linux-kjernen som er brukt.
Sjekk selv
Versjonsnummeret til Linux-kjernen på den enkelte enheten er oppgitt under systeminnstillingene på enheten. Sårbarheten ble fjernet i desember 2017 i AOSP-utgaven av kjernen med versjonsnummer 3.18.x, 4.4.x eller 4.9.x.
Sikkerhetsoppdateringen
Google kommer til å inkludere sikkerhetsfiksen i sikkerhetsoppdateringen til Pixel 1- og 2-enhetene for oktober. Pixel 3 og 3a er ikke berørt. Hvor lang tid det vil ta før andre mobilleverandører kommer med en tilsvarende oppdatering til berørte mobiler, er uklart.
Enkelte kommer med sikkerhetsoppdateringer hver måned. Andre har en langsommere takt og kommer med oppdateringer fire ganger i året eller sjeldnere.
Mange eldre eller billigere enheter mottar trolig ingen sikkerhetsoppdateringer i det hele tatt. Disse kan det være en sikkerhetsrisiko å bruke, i alle fall dersom man ikke har temmelig streng kontroll på hvilke apper som er installert, hvilke nettstedet og andre tjenester som besøkes, og hvilke nettverk enheten til enhver tid er tilknyttet.
Se video: Slik kan hackere ta opp video på Android-mobilen din uten at du vet det
