Lỗ hổng Zero-Day mới ảnh hưởng tới hầu hết các điện thoại Android

Lỗ hổng Zero-Day mới ảnh hưởng tới hầu hết các điện thoại Android

October 7, 2019 | vietsunshine

Một ngày khác, một tiết lộ khác về lỗ hổng zero-day chưa được vá, lần này là trong hệ điều hành di động được sử dụng rộng rãi nhất trên thế giới, Android.

Lỗ hổng zero-day của Android đang được khai thác bởi nhà cung cấp giám sát NSO Group của Israel, công ty này đang bán thông tin về lỗ hổng cho chính phủ hoặc các khách hành nhằm kiểm soát thiết bị Android được nhắm mục tiêu.

Được phát hiện bởi nhà nghiên cứu Maddie Stone của Project Zero, các chi tiết và khai thác bằng chứng về lỗ hổng bảo mật nghiêm trọng, được theo dõi là CVE-2019-2215, đã được công bố chỉ 7 ngày sau khi báo cáo với Android security team.

Zero-day này là lỗ hổng trong binder driver của nhân Android có thể cho phép kẻ tấn công đặc quyền cục bộ hoặc ứng dụng leo thang các đặc quyền của chúng để có quyền truy cập root vào thiết bị dễ bị tấn công và có khả năng kiểm soát hoàn toàn thiết bị từ xa.

(Use After Free đặc biệt đề cập đến nỗ lực truy cập bộ nhớ sau khi nó được giải phóng, điều này có thể khiến chương trình bị sập hoặc, trong trường hợp lỗ hổng Use-After-Free, có khả năng dẫn đến việc thực thi mã tùy ý hoặc thậm chí cho phép khả năng thực thi mã từ xa đầy đủ.)

Các thiết bị Android bị ảnh hưởng

Lỗ hổng này nằm trong các phiên bản kernel Android được phát hành trước tháng 4 năm ngoái, một bản vá được bao gồm trong kernel 4.14 LTS Linux được phát hành vào tháng 12 năm 2017 nhưng chỉ được tích hợp trong các phiên bản kernel AOSP Android 3.18, 4.4 và 4.9.

Do đó, hầu hết các thiết bị Android được sản xuất và bán bởi đa số các nhà cung cấp có nhân chưa được ghép vẫn dễ bị tổn thương này ngay cả khi có các bản cập nhật Android mới nhất, bao gồm các mẫu điện thoại thông minh phổ biến được liệt kê dưới đây:

  • Pixel 1
  • Pixel 1 XL
  • Pixel 2
  • Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Oreo LG phones
  • Samsung S7
  • Samsung S8
  • Samsung S9

Cần lưu ý, các thiết bị Pixel 3, 3 XL và 3a chạy hạt nhân Android mới nhất không bị ảnh hưởng.

Lỗ hổng Android có thể được khai thác từ xa

Theo nhà nghiên cứu, do vấn đề “có thể truy cập từ bên trong hộp cát Chrome”, lỗ hổng zero-day kernel của Android cũng có thể được khai thác từ xa bằng cách kết hợp nó với một lỗ hổng kết xuất Chrome.

“Lỗi này là một lỗ hổng leo thang đặc quyền cục bộ cho phép thỏa hiệp hoàn toàn với một thiết bị dễ bị tổn thương. Nếu khai thác được phân phối qua Web, nó chỉ cần được ghép nối với khai thác kết xuất, vì lỗ hổng này có thể truy cập được thông qua hộp cát,” Stone nói trong blog Chromium.

“Tôi đã đính kèm một bằng chứng khai thác cục bộ để chứng minh làm thế nào lỗi này có thể được sử dụng để có được đọc/ghi kernel tùy ý khi chạy cục bộ. Nó chỉ yêu cầu thực thi mã ứng dụng không đáng tin cậy để khai thác CVE-2019-2215. Tôi cũng đã đính kèm ảnh chụp màn hình (success.png) của POC chạy trên Pixel 2, chạy Android 10 với bản vá bảo mật tháng 9 năm 2019.”

Các bản vá sẽ được cung cấp sớm

Mặc dù Google sẽ phát hành bản vá cho lỗ hổng này trong October’s Android Security Bulletin của mình và cũng đã thông báo cho các OEM, hầu hết các thiết bị bị ảnh hưởng sẽ không nhận được bản vá ngay lập tức, không giống như Google Pixel 1 và 2.

“Vấn đề này được đánh giá là Mức độ nghiêm trọng cao trên Android và bản thân nó yêu cầu cài đặt một ứng dụng độc hại để khai thác tiềm năng. Bất kỳ vectơ nào khác, chẳng hạn như thông qua trình duyệt web, đều yêu cầu phải khai thác thêm”, nhóm bảo mật Android cho biết.

“Chúng tôi đã thông báo cho các đối tác Android và bản vá có sẵn trên Android Common Kernel. Các thiết bị Pixel 3 và 3a không bị tổn thương trong khi các thiết bị Pixel 1 và 2 sẽ nhận được bản cập nhật cho vấn đề này như là một phần của bản cập nhật tháng 10.”

Project Zero của Google thường cung cấp cho các nhà phát triển phần mềm thời hạn 90 ngày để khắc phục sự cố trong các sản phẩm bị ảnh hưởng của họ trước khi công khai với các chi tiết và khai thác PoC, nhưng trong trường hợp có các khai thác tích cực, nhóm sẽ công khai sau bảy ngày được báo cáo.

Mặc dù lỗ hổng này là nghiêm trọng và có thể được sử dụng để có quyền truy cập root vào thiết bị Android, nhưng người dùng không cần phải lo lắng nhiều vì việc khai thác các vấn đề như vậy chủ yếu giới hạn trong các kịch bản tấn công được nhắm mục tiêu.

Tuy nhiên, luôn luôn là một ý tưởng tốt để tránh tải xuống và cài đặt ứng dụng từ các cửa hàng ứng dụng của bên thứ ba và bất kỳ ứng dụng không cần thiết nào, ngay cả từ Google Play Store.

Nguồn: New 0-Day Flaw Affecting Most Android Phones Being Exploited in the Wild

Tags: , ,