מה שאתה צריך לדעת
- חוקר אבטחה מאוניברסיטת נורת'ווסטרן גילה פגיעות חדשה של יום אפס.
- הפגיעות נועדה להשפיע על חלק הליבה של מכשירי אנדרואיד.
- זה יכול לאפשר לתוקף לקבל גישת קריאה וכתיבה שרירותית למכשירים כמו Pixel 6/6 Pro ודגמי Galaxy S22.
גוגל נמצאת תמיד בתהליך מתמיד של אבטחת אנדרואיד על ידי שילוב תכונות אבטחה מובילות בתעשייה כדי לשמור על בטיחות המערכת האקולוגית. זו אחת הסיבות העיקריות לכך שמכשירי אנדרואיד מקבלים לעתים קרובות תיקוני אבטחה. הגנת Google Play היא אמצעי אחד כזה כדי לשמור על הסמארטפונים הטובים ביותר של אנדרואיד מהורדת אפליקציות מזיקות.
למרות כל האמצעים הללו שגוגל נוקטת, אנו רואים כל מיני נקודות תורפה ברחבי העולם באנדרואיד או במערכות מחשוב. פגיעות חדשה (דרך מפתחי XDA) התגלה על ידי Zhenpeng Lin, Ph. D. סטודנט באוניברסיטת נורת'ווסטרן המתמקד באבטחת ליבה.
לדברי לין, מדובר בפגיעות של אפס יום בליבה שעלולה לגרום ל-Google Pixel 6, הוא הציע בציוץ שלו בשבוע שעבר. עוד הוא מציין שזה יכול להתבצע גם על Pixel 6 Pro. לא רק מכשירי ה-Pixel, אלא כל מכשיר אנדרואיד המבוסס על גרעין 5.10 יכולים להיות מושפעים, כולל מכשירי סמסונג האחרונים גלקסי S22 סִדרָה.
ה-Google Pixel 6 האחרון זכה ל-0day בליבה! הושג קריאה/כתיבה שרירותית כדי להסלים את ההרשאות ולהשבית את SELinux מבלי לחטוף את זרימת הבקרה. הבאג משפיע גם על Pixel 6 Pro, פיקסלים אחרים אינם מושפעים :) pic.twitter.com/UsOI3ZbN3L5 ביולי 2022
ראה עוד
בציוץ שלו, לין גם רמז שעם הפגיעות האחרונה, תוקף יכול לקבל גישה לגישת קריאה וכתיבה שרירותית ויש לו את היכולת להשבית את SELinux. הדוח של XDA Developers מזכיר עוד שסוג זה של הרשאות יכול לגרום לתוקף להתעסק עם מערכת ההפעלה ולתמרן את שגרת האבטחה המובנית, בין היתר.
בתשובות הציוץ הנלוות שלו, לין מזכיר גם שהפגיעות אינה מוגבלת רק לטלפונים. כמו ליבת לינוקס הכללית מושפע באופן דומה. עוד הוא מציין כי מכשירי אנדרואיד עם עדכוני האבטחה של יולי אנדרואיד רגישים גם לפגיעות זו של יום אפס.
סביר להניח שלין ישתף יותר על פגיעות זו ב-Black Hat USA 2022, שאמור להתחיל בחודש הבא. שני חוקרי אבטחה נוספים מתכננים להצטרף אליו לתדרוך בן 40 דקות המכונה - זהירות: שיטת ניצול חדשה! אין צינור אבל מגעיל כמו צינור מלוכלך.
הבאג דווח לגוגל, אז עכשיו אנחנו צריכים לחכות שהם יבדקו את הבאג, יקצה CVE, יבדקו תיקון ואז יכללו את התיקון בעלון אבטחה עתידי של אנדרואיד. כל זה ייקח זמן, אז תיקון לא יהיה זמין במשך כמה חודשים.6 ביולי 2022
ראה עוד
פוסט ציוץ נוסף של העורך הטכני הבכיר של אספר, מישאל רחמן, המתייחס לפגיעות זו, מצביע על כך שהבאג דווח לגוגל. זה אומר שאנחנו צריכים עכשיו לחכות שגוגל תפתור את הבעיה. לאחר מכן, הקצה CVE, בדוק תיקון ושלבו את התיקון בעלון אבטחה של Android לאחר מכן כאשר הוא קיבל את דוח הליקויים. זה כנראה תהליך שלוקח זמן; לכן, פתרון לא יהיה נגיש במשך מספר חודשים, מציע רחמן.
בינתיים, בעלי מכשירי אנדרואיד צריכים להיות זהירים לפני התקנת אפליקציות אקראיות מלבד אלו הכשירות דרך Google Play Protect או להימנע לחלוטין מהתקנה ממקורות לא מהימנים לחלוטין.