[Update: Patched] Aktiv ausgenutzte Zero-Day-Sicherheitslücke in Google Pixel, Huawei, Xiaomi, Samsung und anderen Geräten

Update 10/10/19 @ 3:05 AM ET: Die Zero-Day-Sicherheitsanfälligkeit für Android wurde mit dem Sicherheitspatch vom 6. Oktober 2019 behoben. Scrollen Sie nach unten, um weitere Informationen zu erhalten. Der am 6. Oktober 2019 veröffentlichte Artikel ist wie folgt erhalten.

Sicherheit war eine der Hauptprioritäten in den letzten Android-Updates, wobei Verbesserungen und Änderungen an Verschlüsselung, Berechtigungen und datenschutzbezogener Behandlung einige der wichtigsten Funktionen waren. Andere Initiativen wie Project Mainline für Android 10 zielen darauf ab, Sicherheitsupdates zu beschleunigen, um die Sicherheit von Android-Geräten zu erhöhen. Google war auch gewissenhaft und pünktlich bei der Bereitstellung von Sicherheitspatches. Auch wenn diese Bemühungen an sich lobenswert sind, wird es in einem Betriebssystem wie Android immer Spielraum für Exploits und Schwachstellen geben. Es stellte sich heraus, dass Angreifer angeblich eine Zero-Day-Sicherheitsanfälligkeit in Android aktiv ausnutzen, mit der sie die vollständige Kontrolle über bestimmte Telefone von Google, Huawei, Xiaomi, Samsung und anderen Unternehmen übernehmen können.

Das Project Zero-Team von Google hat Informationen zu einem Zero-Day-Android-Exploit veröffentlicht, dessen aktive Nutzung der NSO-Gruppe zugeschrieben wird, obwohl Vertreter von NSO ArsTechnica die Verwendung derselben verweigert haben . Bei diesem Exploit handelt es sich um eine Eskalation von Kernel-Rechten, bei der eine nachträgliche Sicherheitsanfälligkeit ausgenutzt wird, die es dem Angreifer ermöglicht, ein anfälliges Gerät vollständig zu kompromittieren und es zu rooten. Da auf den Exploit auch über die Chrome-Sandbox zugegriffen werden kann, kann er auch über das Internet bereitgestellt werden, sobald er mit einem Exploit verknüpft ist, der auf eine Sicherheitsanfälligkeit im Code in Chrome abzielt, der zum Rendern von Inhalten verwendet wird.

In einer einfacheren Sprache kann ein Angreifer eine böswillige Anwendung auf den betroffenen Geräten installieren und ohne Wissen des Benutzers root werden. Wie wir alle wissen, wird die Straße danach vollständig geöffnet. Da es mit einem anderen Exploit im Chrome-Browser verknüpft werden kann, kann der Angreifer die bösartige Anwendung auch über den Webbrowser übertragen, sodass kein physischer Zugriff auf das Gerät erforderlich ist. Wenn dies für Sie ernst klingt, liegt es daran, dass die Sicherheitsanfälligkeit unter Android als "Schweregrad hoch" eingestuft wurde. Was noch schlimmer ist, dieser Exploit erfordert keine oder nur geringe Anpassungen pro Gerät, und die Forscher von Project Zero haben auch Beweise dafür, dass der Exploit in freier Wildbahn verwendet wird.

Die Sicherheitsanfälligkeit wurde anscheinend im Dezember 2017 im Linux Kernel 4.14 LTS-Release behoben, jedoch ohne Tracking-CVE. Das Update wurde dann in die Versionen 3.18, 4.4 und 4.9 des Android-Kernels integriert. Das Update gelangte jedoch nicht in Android-Sicherheitsupdates, sodass mehrere Geräte für diesen Fehler anfällig waren, der jetzt als CVE-2019-2215 verfolgt wird.

Die „nicht vollständige“ Liste der Geräte, bei denen festgestellt wurde, dass sie betroffen sind, lautet wie folgt:

  • Google Pixel
  • Google Pixel XL
  • Google Pixel 2
  • Google Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi Mi A1
  • Oppo A3
  • Moto Z3
  • LG-Handys auf Android Oreo
  • Samsung Galaxy S7
  • Samsung Galaxy S8
  • Samsung Galaxy S9

Wie bereits erwähnt, ist diese Liste jedoch nicht vollständig. Dies bedeutet, dass wahrscheinlich auch mehrere andere Geräte von dieser Sicherheitsanfälligkeit betroffen sind, obwohl Android-Sicherheitsupdates so neu sind wie das ab September 2019. Die Google Pixel 3 und Pixel 3 XL und Google Pixel 3a und Pixel 3a XL sollen vor dieser Sicherheitsanfälligkeit sicher sein. Für betroffene Pixel-Geräte wird die Sicherheitsanfälligkeit im kommenden Android-Sicherheitsupdate vom Oktober 2019 behoben, das in ein oder zwei Tagen verfügbar sein wird. Android-Partnern wurde ein Patch zur Verfügung gestellt, „um sicherzustellen, dass das Android-Ökosystem vor dem Problem geschützt ist“. Angesichts der Nachlässigkeit und Lässigkeit bestimmter OEMs bei Updates würden wir jedoch nicht den Atem anhalten, wenn wir den Fix rechtzeitig erhalten würden Weise.

Das Forschungsteam von Project Zero hat einen lokalen Proof-of-Concept-Exploit veröffentlicht, um zu demonstrieren, wie dieser Fehler verwendet werden kann, um bei lokaler Ausführung beliebigen Kernel-Lese- / Schreibzugriff zu erhalten.

Das Forschungsteam von Project Zero hat versprochen, in einem zukünftigen Blog-Beitrag eine detailliertere Erläuterung des Fehlers und der Methode zu liefern, mit der er identifiziert werden kann. ArsTechnica ist der Meinung, dass es äußerst geringe Chancen gibt, von Angriffen ausgenutzt zu werden, die so teuer und zielgerichtet sind wie diese. Die Benutzer sollten weiterhin die Installation nicht notwendiger Apps unterbrechen und einen Nicht-Chrome-Browser verwenden, bis der Patch installiert ist. Wir sind der Meinung, dass es auch ratsam ist, nach dem Sicherheitspatch für Ihr Gerät vom Oktober 2019 Ausschau zu halten und diesen so schnell wie möglich zu installieren.

Quelle: Projekt Null

Geschichte über: ArsTechnica


Update: Die Zero-Day-Sicherheitsanfälligkeit für Android wurde mit dem Sicherheitsupdate vom Oktober 2019 behoben

CVE-2019-2215, das sich auf die oben erwähnte Sicherheitsanfälligkeit bezüglich der Eskalation von Kernel-Rechten bezieht, wurde wie versprochen mit dem Sicherheitspatch vom Oktober 2019 gepatcht, insbesondere mit dem Sicherheitspatch der Stufe 2019-10-06. Wenn für Ihr Gerät ein Sicherheitsupdate verfügbar ist, empfehlen wir dringend, es frühestens zu installieren.

Quelle: Android Security Bulletin

Via: Twitter: @maddiestone