Создать акаунт
VR4you.net » Новости » Найдена новая уязвимость Android, в опасности устройства Pixel, Samsung, Huawei, Xiaomi

Найдена новая уязвимость Android, в опасности устройства Pixel, Samsung, Huawei, Xiaomi

05 окт 2019, 15:36
Новости
1 615
0
+3

Уязвимость была исправлена в более старых версиях ОС Android, но вновь появилась в более новых версиях.

Сегодня Google сообщил, что они нашли доказательства того, что уязвимость Android unpatched  используется для атак в реальном мире - так называемый "нулевой день"/"zero-day". Уязвимость находится в коде ядра операционной системы Android и может быть использована, чтобы помочь злоумышленнику получить корневой доступ к устройству.

По иронии судьбы, уязвимость была исправлена в декабре 2017 года в версиях ядра Android 3.18, 4.14, 4.4 и 4.9, но более новые версии оказались уязвимыми. Исследователи Google считают, что уязвимость влияет на следующие модели телефонов Android, работающие под управлением Android 8.X и более новых:

Pixel 2 с Android 9 и Android 10
Huawei P20 Xiaomi Redmi 5A
Xiaomi Redmi Note 5
Xiaomi В А1
Oppo A3
Moto Z3
Телефоны Oreo LG
Samsung С7, С8, С9

Исследователи Google также заявили, что "эксплойт требует незначительной настройки для каждого устройства", что означает, что он должен работать в широком диапазоне телефонов, хотя они не подтвердили это с помощью тестов, как это было сделано для устройств, перечисленных выше.

Google: "Нулевой день" связан с NSO Group

Уязвимость была обнаружена командой Google Project Zero, а позже подтверждена, что она использовалась в реальных атаках группой анализа угроз компании (TAG). Это две команды, которые обнаружили в прошлом месяце пакет из 14 "zero-day", используемых против пользователей iOS.

Тем не менее, Android zero-day и iOS zero-days, похоже, не связаны. В то время как атаки на пользователей iOS были связаны с китайской спонсируемой государством группой, проводящей операции наблюдения против своих собственных граждан, подробности о Android zero-day в настоящее время ограничены.

Google сказал, что он считает, что Android zero-day - это работа NSO Group, израильской компании, известной продажей эксплойтов и инструментов наблюдения.

Компания подверглась критике за продажу хакерских инструментов репрессивным режимам, но столкнувшись с растущей критикой, недавно пообещала бороться с клиентами, которые злоупотребляют ее инструментами, чтобы шпионить за невинными или политическими противниками. Отвечая на запрос о комментариях от ZDNet, компания добавила следующее, отрицая, что эксплойт является одним из их собственных.

"NSO не продавала и никогда не будет продавать эксплойты или уязвимости", - сказал представитель NSO Group. "Этот эксплойт не имеет ничего общего с NSO; наша работа сосредоточена на разработке продуктов, призванных помочь лицензированным разведывательным и правоохранительным органам спасать жизни."

Не так опасно, как могло бы быть

Хорошей новостью является то, что Android zero-day не так опасен, как другие прошлые нулевые дни. Во-первых, это не RCE (удаленное выполнение кода), который можно использовать без взаимодействия с пользователем. Существуют определенные условия, которые необходимо выполнить, прежде чем злоумышленник сможет воспользоваться этой уязвимостью.

"Эта проблема оценивается как высокая степень серьезности на Android и сама по себе требует установки вредоносного приложения для потенциальной эксплуатации", - сказал представитель проекта Android. Любые другие векторы, такие как через веб-браузер, требуют цепочки с дополнительным эксплойтом.
"Мы уведомили партнеров Android, и патч доступен на общем ядре Android. Устройства Pixel 3 и 3a не уязвимы, в то время как устройства Pixel 1 и 2 будут получать обновления для этой проблемы в рамках октябрьского обновления", - сказала команда Android.

Нулевой день теперь отслеживается как CVE-2019-2215. Эта запись отслеживания ошибок от команды Project Zero содержит код доказательства концепции и дополнительные сведения для исследователей безопасности, которые хотят воспроизвести ошибку и протестировать другие устройства.


Android

Читайте также:

Какие смартфоны получат Android 10?
Какие смартфоны получат Android 10?
Google не изменяет своим традициям и ровно через год, 3 сентября 2019 года, представил новую, релизную версию операционной системы Android 10. От словесных наименований в традиции «Oreo»
Уязвимость, найденная на iOS 13 позволяет злоумышленникам получить доступ к вашим контактам, даже если ваш iPhone заблокирован.
Уязвимость, найденная на iOS 13 позволяет злоумышленникам получить доступ к вашим контактам, даже если ваш iPhone заблокирован.
Несмотря на то, что версия iOS 13 не будет выпущена до 19 сентября, специалист по безопасности, Хосе Родригес, уже опубликовал видео на YouTube (от имени The Verge), демонстрирующее эксплойт, который
Новый эксплойт iMessage позволяет хакерам захватить ваш iPhone, просто отправив вам сообщение
Новый эксплойт iMessage позволяет хакерам захватить ваш iPhone, просто отправив вам сообщение
Недавно в iMessage была обнаружена новая уязвимость "без взаимодействия", которая может позволить хакерам получить доступ к вашему iPhone. Эксплойт без взаимодействия означает, что вам не нужно
iPhone сливает ваши данные при каждом нажатии на кнопку поделиться фото
iPhone сливает ваши данные при каждом нажатии на кнопку поделиться фото
Вы никогда не догадаетесь, кто сливает номер вашего Apple iPhone и пароль Wi-Fi iPhone новая уязвимость при расшаривании фото или Вы никогда не догадаетесь, кто сливает номер вашего Apple iPhone и
Какие смартфоны обновятся до версии Android 9.0: список устройств
Какие смартфоны обновятся до версии Android 9.0: список устройств
После конференции Google I/O 2018, проходившей в середине мая 2018 года, был дан зеленый свет для бета-теста операционной системы Android 9.0, название которой - Android P. Многие уже успели
Когда выйдет Xiaomi Redmi 5/Note 5
Когда выйдет Xiaomi Redmi 5/Note 5
Хотите смартфон с широкоформатным экраном? Ждать осталось совсем недолго, и для тех, кому не важна камера - нет смысла переплачивать за Galaxy S8, так как Xiaomi в который раз позаботилась о своих
Анонс Meizu Pro 7/Pro 7 Plus и Xiaomi Mi 5X
Анонс Meizu Pro 7/Pro 7 Plus и Xiaomi Mi 5X
  Две конкурирующие компании из поднебесной анонсировали новые смартфоны. Миру были представлены новинки: Meizu Pro 7/Pro 7 Plus и Xiaomi Mi 5X - смартфоны на базе Android 7.0, стоит
Установка собственной мелодии на будильник Android
Установка собственной мелодии на будильник Android
В устройствах на базе Android есть возможность поменять стандартную мелодию будильника на свою собственную. Это можно делать во всех версиях Android. Сложность может возникнуть только в старых
Комментарии
Будьте вежливы при общении в сети, комментарии содержащие нецернзурные выражения и/или оскорбляющие участников обсуждения будут удалены.
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
2016-2023 © VR4You.net
Медиагруппа BIGRich.click
Все права защищены. Копирование материалов только с активной ссылкой на источник.