Een nieuw beveiligingsprobleem (CVE-2016-0728 voor degenen die deze dingen graag bijhouden) werd op 14 januari aangekondigd door Perceptie punt, een beveiligingsonderzoeksteam. De bug treft kernels die zijn gecompileerd met de CONFIG_KEYS kernelconfiguratieschakelaar ingesteld op "aan" en is aanwezig in alle Linux kernels sinds versie 3.8. De exploit maakt root-escalatie mogelijk door een 32-bits geheel getal terug naar nul te fietsen. Perception Point beweert dat "ongeveer tientallen miljoenen Linux-pc's en -servers en 66 procent van alle Android-apparaten" zijn getroffen.
Adrian Ludwig van Google, hoofdingenieur voor Android-beveiliging, heeft gereageerd, waarin staat dat de exploit is gepatcht en vanaf 20 januari is vrijgegeven voor open source.
Zoals altijd zijn er nog genoeg vragen. Laten we erover praten.
Wat is er aan de hand?
Er zit een bug in de Linux-kernel (versie 3.8 en hoger) waardoor een aanvaller root-toegang kan krijgen. De kernel moet zijn gebouwd met de Keyring-service ingeschakeld, en een aanval moet veel rekenwerk verrichten om een getal zo hoog mogelijk te laten tellen, om vervolgens terug te gaan naar nul. Er zijn 4.294.967.296 berekeningen nodig om een 32-bits geheel getal (twee tot de 32e macht) terug naar nul te laten gaan. Dit duurt ongeveer 30 minuten op een gloednieuwe Intel i7 CPU, maar zou veel langer duren (zoals in een heel stuk langer) op een telefoon-CPU.
Zodra het nummer helemaal rondgaat (denk aan hoe een flipperkast teruggaat naar nul zodra je scoort bereikt 999.999.999) en terug naar nul, kan de aanvaller toegang krijgen tot de geheugenruimte en code uitvoeren als de Super gebruiker.
Moet je je zorgen maken?
We moeten ons altijd zorgen maken als er zich een beveiligingslek voordoet. Dit keer is het niet anders. Maar er zijn een paar dingen die velen doen twijfelen aan het aantal mogelijk getroffen apparaten.
- De aanbevolen kernelconfiguratie voor Android-apparaten heeft de variabele CONFIG_KEYS niet ingeschakeld, en dat betekent dat deze exploit geen effect zal hebben. De mensen die je telefoon hebben gemaakt kunnen hebben het ingeschakeld, en aangepaste ROM-fornuizen hebben dat misschien ook.
- Alle Nexus-telefoons worden niet beïnvloed - ze gebruiken de standaard kernelconfiguratie en de sleutelring is niet ingeschakeld in de kernel.
- SELinux ontkent de aanvalsvector, dus als je telefoon of tablet Android 5.0 of hoger draait, zou je niet getroffen moeten zijn.
- De meeste apparaten niet met Android 5.0 of hoger wordt een oudere versie van de Linux-kernel gebruikt en wordt dit niet beïnvloed.
Ja, veel computers, telefoons en tablets zijn getroffen door deze exploit. Maar we twijfelen aan de cijfers die Perception Point heeft gegeven.
We kunnen niet alle 11.000 verschillende Android-modellen controleren, maar we kunnen iedereen met meer vragen doorverwijzen naar hun relevante apparaat forum. Kortom, als je Lollipop gebruikt, ben je veilig. Als je dat niet bent, kijk dan naar het scherm Over apparaat en controleer je kernelversie. Als het eerder is dan 3.8, ben je veilig.
Wat moet ik doen?
Dit is een van die beveiligingsproblemen die door een app kunnen worden uitgebuit, op voorwaarde dat uw telefoon kwetsbaar is, zoals we hierboven hebben besproken. Omdat er een kavel van de betrokken berekening, zou je een slechte app lange tijd op de voorgrond moeten hebben draaien, dus zoiets als een game zou een goede app zijn om te proberen een exploit te hacken.
Installeer voor uw veiligheid geen apps die u niet vertrouwt. Ooit.
Als u niet zeker weet wie u kunt vertrouwen, zorg er dan voor dat u niet toestaat dat apps van onbekende bronnen worden geïnstalleerd en blijf bij Google Play.
Het is echt zo gemakkelijk om hier 100 procent veilig voor te zijn.
Hoe zit het met updates voor de exploits?
Ludwig van Google zegt dat de patch op 20 januari is vrijgegeven voor open source en aan alle partners is geleverd. Fabrikanten moeten deze patch toevoegen om te voldoen aan het beveiligingspatchniveau van 1 maart 2016 en later.