Outra revelação de uma vulnerabilidade crítica 0-Day, sem patches, desta vez no sistema operacional móvel mais usado no mundo, o Android. Também foi descoberto que a vulnerabilidade 0-Day do Android é explorada pela pelo fornecedor de vigilância israelense NSO Group famoso por vender explorações de 0-Day para governos ou clientes, para obter o controle dos dispositivos Android alvos.
Descobertos pela pesquisadora do Project Zero Maddie Stone, os detalhes e uma exploração de prova de conceito para a vulnerabilidade de segurança de alta gravidade, rastreada como CVE-2019-2215, foram divulgados recentemente depois de serem relatados à equipe de segurança do Android.
O 0-Day é uma vulnerabilidade de uso livre no driver do kernel Android que pode permitir que um invasor ou aplicativo privilegiado local aumente seus privilégios para obter acesso root a um dispositivo vulnerável e potencialmente assumir o controle remoto total do dispositivo.
Dispositivos Android vulneráveis
A vulnerabilidade reside nas versões do kernel Android lançadas antes de abril do ano passado, um patch incluído no kernel 4.14 LTS Linux lançado em dezembro de 2017, mas foi incorporado apenas nas versões 3.18, 4.4 e 4.9 do kernel AOSP Android.
Portanto, a maioria dos dispositivos Android fabricados e vendidos pela maioria dos fornecedores com o kernel não corrigido ainda estão vulneráveis a essa vulnerabilidade, mesmo após as atualizações mais recentes do Android, incluindo os modelos populares de smartphones listados abaixo:
Pixel 1, Pixel 1 XL, Pixel 2, Pixel 2 XL, Huawei P20, Xiaomi Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3, Oreo LG phones, Samsung S7, Samsung S8 e Samsung S9.
É importante ressaltar que os dispositivos Pixel 3, 3 XL e 3a que executam os kernels mais recentes do Android não estão vulneráveis ao problema.
Falha no Android pode ser explorada remotamente
Segundo o pesquisador, como o problema é “acessível nas entranhas do Chrome”, a vulnerabilidade de 0-day do kernel do Android também pode ser explorada remotamente combinando-a com uma falha de renderização do Chrome separada.
“O bug é uma vulnerabilidade de escalação de privilégios local que permite o comprometimento total de um dispositivo vulnerável. Se a exploração for entregue pela Web, ela só precisará ser emparelhada com uma exploração de renderizador, pois essa vulnerabilidade pode ser acessada através da sandbox”.
“Anexei uma prova de conceito de exploração local para demonstrar como esse bug pode ser usado para obter leitura/gravação arbitrária do kernel quando executado localmente. Ele requer apenas a execução não confiável do código do aplicativo para explorar o CVE-2019-2215. Também anexamos uma captura de tela (success.png) do POC em execução em um Pixel 2, executando o Android 10 com nível de patch de segurança em setembro de 2019.”
Patches a serem disponibilizados em breve
Embora o Google libere um patch para esta vulnerabilidade no Android Security Bulletin de outubro nos próximos dias e também notifique os OEMs, os dispositivos mais afetados provavelmente não receberão o patch imediatamente, ao contrário do Google Pixel 1 e 2.
“Esse problema é classificado como alta severidade no Android e, por si só, requer a instalação de um aplicativo mal-intencionado para possível exploração. Quaisquer outros vetores, como o navegador da web, exigem encadeamento com uma exploração adicional”, afirmou a equipe de segurança do Android através de um comunicado.
“Notificamos os parceiros do Android e o patch está disponível no Kernel comum do Android. Os dispositivos Pixel 3 e 3a não são vulneráveis, enquanto os dispositivos Pixel 1 e 2 receberão atualizações para esse problema como parte da atualização de outubro”.
A divisão Project Zero do Google geralmente concede aos desenvolvedores de software um prazo de 90 dias para corrigir o problema em seus produtos afetados antes de divulgar publicamente os detalhes e as explorações de PoC, mas, no caso de explorações ativas, a equipe torna-se pública após sete dias ao ser relatada em particulamente.
Embora essa vulnerabilidade seja grave e possa ser usada para obter acesso root a um dispositivo Android, os usuários não precisam se preocupar tanto, pois a exploração de tais problemas é principalmente limitada a cenários de ataque direcionado.
No entanto, é sempre uma boa ideia evitar o download e a instalação de aplicativos de lojas de aplicativos de terceiros e de aplicativos desnecessários, mesmo da Google Play Store.
Este artigo é uma tradução de: https://thehackernews.com/2019/10/android-kernel-vulnerability.html
