Jump to content

Recommended Posts

Posted

Google-Pixel-2-and-Pixel-2-XL.jpg.144642

Την σχετικά αποκάλυψη έκανε η Maddie Stone, μέλος του Project Zero. Υπάρχουν μάλιστα στοιχεία, ότι την ευπάθεια εκμεταλλεύεται αυτή την περίοδο ο exploit developer NSO Group ή κάποιος από τους πελάτες του σύμφωνα με την Maddie Stone. Τα exploits είναι δύο, και απαιτούν ελαφρύ ή καθόλου customization για να προχωρήσει κάποιος στο πλήρες «root» των συσκευών που επηρεάζονται.

Ένας επιτιθέμενος μπορεί να εκμεταλλευτεί και να αξιοποιήσει την ευπάθεια με δύο τρόπους: με την εγκατάσταση μίας μη έμπιστης εφαρμογής και –για online επιθέσεις- με τον συνδυασμό του exploit με ένα δεύτερο exploit που έχει στόχο μία ευπάθεια στον κώδικα του browser Chrome που χρησιμοποιείται για το rendering περιεχομένου.

Οι συσκευής που επηρεάζονται είναι οι παρακάτω:

  • Pixel 1
  • Pixel 1 XL
  • Pixel 2
  • Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Oreo LG phones
  • Samsung S7
  • Samsung S8
  • Samsung S9

Ένα μέλος της ομάδας Android δήλωσε στο ίδιο νήμα στο Project Zero ότι είναι δυνατή η αντιμετώπιση της ευπάθειας με σχετικό patch –τουλάχιστον στις συσκευές Pixel- στο Android security update Οκτωβρίου που αναμένεται να διατεθεί μέσα στις επόμενες ημέρες. Να αναφέρουμε ότι τα Pixel 3 και Pixel 3a δεν επηρεάζονται από την ευπάθεια. Η ευπάθεια έκανε αρχικά την εμφάνιση της στον Linux kernel στις αρχές του 2018 αλλά διορθώθηκε με σχετικό patch στην έκδοση 4.14, χωρίς όμως τα οφέλη ενός tracking CVE. Το fix στην συνέχεια ενσωματώθηκε στις εκδόσεις 3.18, 4.4 και 4.9 του Android kernel. Χωρίς κάποια εξήγηση παρόλα αυτά, τα patches δεν διατέθηκαν στα Android security updates που διατέθηκαν εκείνο το διάστημα και για αυτό οι πρώτες συσκευές Pixel είναι ευάλωτες αλλά όχι και οι νεότερες. Το κενό ασφαλείας τώρα είναι γνωστό ως CVE-2019-2215.

ArsTechnica

View the full article

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...