Różności i nowinki technologia

Hakerzy wykorzystali 4 krytyczne luki w systemie Android

Ekran komputera wypełniony zerami i jedynkami zawiera również logo Google i słowo zhakowane.

Nieznani hakerzy wykorzystują cztery luki w systemie Android, które umożliwiają wykonanie złośliwego kodu, który może przejąć pełną kontrolę nad urządzeniami – ostrzegł Google w środę.

Wszystkie cztery luki zostały ujawnione dwa tygodnie temu w majowym biuletynie zabezpieczeń systemu Android firmy Google. Firma Google udostępniła aktualizacje zabezpieczeń producentom urządzeń, którzy są następnie odpowiedzialni za dystrybucję poprawek do użytkowników.

Biuletyn Google z 3 maja początkowo nie informował, że żadna z około 50 luk w zabezpieczeniach, które obejmował, była aktywnie wykorzystywana. W środę Google zaktualizował poradnik, aby powiedzieć, że istnieją „oznaki”, że cztery luki „mogą podlegać ograniczonej, ukierunkowanej eksploatacji”. Maddie Stone, członkini grupy badawczej Google Project Zero, usunęła tę dwuznaczność. Ona zadeklarowane na Twitterze że „4 wulny zostały wykorzystane na wolności” jako zero-dni.

Kompletna kontrola

Udane exploity luk „dałyby pełną kontrolę nad mobilnym punktem końcowym ofiary”, powiedział w e-mailu Asaf Peleg, wiceprezes ds. Projektów strategicznych w firmie zabezpieczającej Zimperium. „Od podniesienia uprawnień poza te, które są dostępne domyślnie, do wykonywania kodu poza istniejącą piaskownicą bieżącego procesu, urządzenie byłoby w pełni zagrożone i żadne dane nie byłyby bezpieczne”.

Jak dotąd, według danych Zimperium, w tym roku ujawniono cztery luki w zabezpieczeniach Androida typu „zero-day”, w porównaniu z jedną na cały rok 2020.

Dwie z luk dotyczą procesora Qualcomm Snapdragon, który zasila większość urządzeń z Androidem w USA i ogromną liczbę telefonów za granicą. CVE-2021-1905, jako pierwsza wykrywana luka, to usterka powodująca uszkodzenie pamięci, która umożliwia atakującym wykonanie złośliwego kodu z nieskrępowanymi uprawnieniami roota. Jest klasyfikowany jako ciężki, z oceną 7,8 na 10.

Druga luka, CVE-2021-1906, jest luką logiczną, która może powodować błędy w przydzielaniu nowych adresów pamięci GPU. Wskaźnik ważności wynosi 5,5. Często hakerzy łączą ze sobą dwa lub więcej exploitów, aby ominąć zabezpieczenia. Tak jest prawdopodobnie w przypadku dwóch wad Snapdragona.

Pozostałe dwie atakowane luki znajdują się w sterownikach współpracujących z procesorami graficznymi ARM. Zarówno CVE-2021-28663, jak i CVE-2021-28664 to również błędy powodujące uszkodzenie pamięci, które umożliwiają atakującym uzyskanie uprawnień administratora na podatnych urządzeniach.

Brak przydatnych porad od Google

Nie ma innych szczegółów dotyczących ataków na wolności. Przedstawiciele Google nie odpowiadali na e-maile z pytaniami, jak użytkownicy mogą stwierdzić, czy są celem.

Umiejętności wymagane do wykorzystania luk skłoniły niektórych badaczy do spekulacji, że ataki są prawdopodobnie dziełem hakerów wspieranych przez państwa narodowe.

„Złożoność tego wektora ataku mobilnego nie jest niczym niezwykłym, ale wykracza poza możliwości atakującego z podstawową lub nawet pośrednią wiedzą na temat hakowania mobilnych punktów końcowych” – powiedział Peleg. „Każdy atakujący wykorzystujący tę lukę najprawdopodobniej robi to w ramach większej kampanii przeciwko osobie, przedsiębiorstwu lub rządowi, której celem jest kradzież krytycznych i prywatnych informacji”.

Nie jest jasne, w jaki sposób ktoś mógłby wykorzystać luki w zabezpieczeniach. Możliwości obejmują nakłonienie celów do zainstalowania złośliwej aplikacji lub odwiedzenia złośliwej witryny internetowej lub wysłania złośliwych wiadomości tekstowych.

Bez bardziej przydatnych informacji od Google niemożliwe jest udzielenie przydatnych porad użytkownikom Androida poza upewnieniem się, że wszystkie aktualizacje zostały zainstalowane. Osoby korzystające z urządzeń z Androidem od Google automatycznie otrzymają poprawki podczas majowego wprowadzenia zabezpieczeń. Użytkownicy innych urządzeń powinni skontaktować się z producentem.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook