Un nuovo problema di sicurezza (CVE-2016-0728 per coloro a cui piace tenere traccia di queste cose) è stato annunciato il 14 gennaio da Punto di percezione, un team di ricerca sulla sicurezza. Il bug riguarda i kernel compilati con lo switch di configurazione del kernel CONFIG_KEYS impostato su "on" ed è stato presente in tutti i kernel Linux dalla versione 3.8. L'exploit consente l'escalation di root riportando a zero un numero intero a 32 bit. Il punto di percezione afferma che "circa decine di milioni di PC e server Linux e il 66 percento di tutti i dispositivi Android" sono interessati.
Adrian Ludwig di Google, ingegnere capo per la sicurezza Android, ha risposto, affermando che l'exploit è stato corretto e rilasciato all'open source a partire dal 20 gennaio.
Come sempre, ci sono ancora molte domande. Parliamo di loro.
Cosa sta succedendo?
C'è un bug nel kernel Linux (versione 3.8 e successive) che consente a un utente malintenzionato di ottenere l'accesso come root. Il kernel deve essere stato creato con il servizio Keyring abilitato e un attacco deve fare molti calcoli per far contare un numero il più alto possibile, quindi tornare a zero. Sono necessari 4.294.967.296 calcoli per riportare a zero un numero intero a 32 bit (due elevato alla 32a potenza). Questo richiede solo 30 minuti circa su una nuovissima CPU Intel i7, ma richiederebbe molto più tempo (come in molto più tempo) su una CPU del telefono.
Una volta che il numero ha fatto il giro completo (pensa a come un flipper torna a zero una volta che il tuo punteggio raggiunge 999.999.999) e torna a zero, l'aggressore può ottenere l'accesso allo spazio di memoria ed eseguire il codice come superutente.
Dovresti essere preoccupato?
Dovremmo sempre essere preoccupati quando si verifica un exploit di sicurezza. Questa volta non è diverso. Ma ci sono alcune cose qui che fanno dubitare molti del numero di dispositivi potenzialmente interessati.
- La configurazione del kernel consigliata per i dispositivi Android non ha la variabile CONFIG_KEYS attivata e ciò significa che questo exploit non avrà alcun effetto. Le persone che hanno creato il tuo telefono Maggio l'hanno abilitato e potrebbero averlo anche i fornelli ROM personalizzati.
- Tutti i telefoni Nexus non sono interessati: utilizzano la configurazione predefinita del kernel e il portachiavi non è abilitato nel kernel.
- SELinux annulla il vettore di attacco, quindi se il tuo telefono o tablet esegue Android 5.0 o versioni successive, non dovresti essere interessato.
- La maggior parte dei dispositivi non l'esecuzione di Android 5.0 o versioni successive utilizzerà una versione precedente del kernel Linux e non sarà interessata.
Sì, molti computer, telefoni e tablet sono interessati da questo exploit. Ma dubitiamo dei numeri forniti da Perception Point.
Non possiamo controllare tutti gli 11.000 diversi modelli di Android là fuori, ma possiamo indirizzare chiunque abbia più domande al loro pertinente forum del dispositivo. In poche parole, se gestisci Lollipop sei al sicuro. In caso contrario, guarda la schermata Informazioni sul dispositivo e controlla la versione del kernel. Se è precedente alla 3.8 sei al sicuro.
Cosa dovrei fare?
Questo è uno di quei problemi di sicurezza che possono essere sfruttati da un'app, a condizione che il tuo telefono sia vulnerabile come abbiamo detto sopra. Perché c'è un quantità di calcolo coinvolto, dovresti avere una cattiva app in esecuzione in primo piano per molto tempo, quindi qualcosa come un gioco sarebbe una buona app per provare a hackerare un exploit.
Per stare al sicuro, non installare app di cui non ti fidi. Mai.
Se non sei sicuro di chi ti puoi fidare, assicurati di non consentire l'installazione di app da fonti sconosciute e attenersi a Google Play.
È davvero così facile essere al sicuro al 100% da questo.
E gli aggiornamenti per gli exploit?
Ludwig di Google afferma che la patch è stata rilasciata il 20 gennaio all'open source e consegnata a tutti i partner. I produttori dovranno includere questa patch per essere conformi al livello di patch di sicurezza del 1° marzo 2016 e versioni successive.