Outra revela\u00e7\u00e3o de uma vulnerabilidade cr\u00edtica 0-Day, sem patches, desta vez no sistema operacional m\u00f3vel mais usado no mundo, o Android. Tamb\u00e9m foi descoberto que a vulnerabilidade 0-Day do Android \u00e9 explorada pela pelo fornecedor de vigil\u00e2ncia israelense NSO Group famoso por vender explora\u00e7\u00f5es de 0-Day para governos ou clientes, para obter o controle dos dispositivos Android alvos.<\/p>\n
<\/p>\n
Descobertos pela pesquisadora do Project Zero Maddie Stone, os detalhes e uma explora\u00e7\u00e3o de prova de conceito para a vulnerabilidade de seguran\u00e7a de alta gravidade, rastreada como CVE-2019-2215, foram divulgados recentemente depois de serem relatados \u00e0 equipe de seguran\u00e7a do Android.<\/p>\n
<\/p>\n
O 0-Day \u00e9 uma vulnerabilidade de uso livre no driver do kernel Android que pode permitir que um invasor ou aplicativo privilegiado local aumente seus privil\u00e9gios para obter acesso root a um dispositivo vulner\u00e1vel e potencialmente assumir o controle remoto total do dispositivo.<\/p>\n
<\/p>\n
Dispositivos Android vulner\u00e1veis<\/strong><\/p>\n A vulnerabilidade reside nas vers\u00f5es do kernel Android lan\u00e7adas antes de abril do ano passado, um patch inclu\u00eddo no kernel 4.14 LTS Linux lan\u00e7ado em dezembro de 2017, mas foi incorporado apenas nas vers\u00f5es 3.18, 4.4 e 4.9 do kernel AOSP Android.<\/p>\n <\/p>\n Portanto, a maioria dos dispositivos Android fabricados e vendidos pela maioria dos fornecedores com o kernel n\u00e3o corrigido ainda est\u00e3o vulner\u00e1veis a essa vulnerabilidade, mesmo ap\u00f3s as atualiza\u00e7\u00f5es mais recentes do Android, incluindo os modelos populares de smartphones listados abaixo:<\/p>\n Pixel 1, Pixel 1 XL, Pixel 2, Pixel 2 XL, Huawei P20, Xiaomi Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3, Oreo LG phones, Samsung S7, Samsung S8 e Samsung S9. <\/p>\n Falha no Android pode ser explorada remotamente<\/strong><\/p>\n Segundo o pesquisador, como o problema \u00e9 “acess\u00edvel nas entranhas do Chrome”, a vulnerabilidade de 0-day do kernel do Android tamb\u00e9m pode ser explorada remotamente combinando-a com uma falha de renderiza\u00e7\u00e3o do Chrome separada.<\/p>\n <\/p>\n “O bug \u00e9 uma vulnerabilidade de escala\u00e7\u00e3o de privil\u00e9gios local que permite o comprometimento total de um dispositivo vulner\u00e1vel. Se a explora\u00e7\u00e3o for entregue pela Web, ela s\u00f3 precisar\u00e1 ser emparelhada com uma explora\u00e7\u00e3o de renderizador, pois essa vulnerabilidade pode ser acessada atrav\u00e9s da sandbox”.<\/p>\n <\/p>\n “Anexei uma prova de conceito de explora\u00e7\u00e3o local para demonstrar como esse bug pode ser usado para obter leitura\/grava\u00e7\u00e3o arbitr\u00e1ria do kernel quando executado localmente. Ele requer apenas a execu\u00e7\u00e3o n\u00e3o confi\u00e1vel do c\u00f3digo do aplicativo para explorar o CVE-2019-2215. Tamb\u00e9m anexamos uma captura de tela (success.png) do POC em execu\u00e7\u00e3o em um Pixel 2, executando o Android 10 com n\u00edvel de patch de seguran\u00e7a em setembro de 2019.”<\/p>\n <\/p>\n Patches a serem disponibilizados em breve<\/strong><\/p>\n Embora o Google libere um patch para esta vulnerabilidade no Android Security Bulletin de outubro nos pr\u00f3ximos dias e tamb\u00e9m notifique os OEMs, os dispositivos mais afetados provavelmente n\u00e3o receber\u00e3o o patch imediatamente, ao contr\u00e1rio do Google Pixel 1 e 2.<\/p>\n <\/p>\n “Esse problema \u00e9 classificado como alta severidade no Android e, por si s\u00f3, requer a instala\u00e7\u00e3o de um aplicativo mal-intencionado para poss\u00edvel explora\u00e7\u00e3o. Quaisquer outros vetores, como o navegador da web, exigem encadeamento com uma explora\u00e7\u00e3o adicional”, afirmou a equipe de seguran\u00e7a do Android atrav\u00e9s de um comunicado.<\/p>\n <\/p>\n “Notificamos os parceiros do Android e o patch est\u00e1 dispon\u00edvel no Kernel comum do Android. Os dispositivos Pixel 3 e 3a n\u00e3o s\u00e3o vulner\u00e1veis, enquanto os dispositivos Pixel 1 e 2 receber\u00e3o atualiza\u00e7\u00f5es para esse problema como parte da atualiza\u00e7\u00e3o de outubro”.<\/p>\n <\/p>\n A divis\u00e3o Project Zero do Google geralmente concede aos desenvolvedores de software um prazo de 90 dias para corrigir o problema em seus produtos afetados antes de divulgar publicamente os detalhes e as explora\u00e7\u00f5es de PoC, mas, no caso de explora\u00e7\u00f5es ativas, a equipe torna-se p\u00fablica ap\u00f3s sete dias ao ser relatada em particulamente.<\/p>\n <\/p>\n Embora essa vulnerabilidade seja grave e possa ser usada para obter acesso root a um dispositivo Android, os usu\u00e1rios n\u00e3o precisam se preocupar tanto, pois a explora\u00e7\u00e3o de tais problemas \u00e9 principalmente limitada a cen\u00e1rios de ataque direcionado.<\/p>\n <\/p>\n No entanto, \u00e9 sempre uma boa ideia evitar o download e a instala\u00e7\u00e3o de aplicativos de lojas de aplicativos de terceiros e de aplicativos desnecess\u00e1rios, mesmo da Google Play Store.<\/p>\n <\/p>\n
\n\u00c9 importante ressaltar que os dispositivos Pixel 3, 3 XL e 3a que executam os kernels mais recentes do Android n\u00e3o est\u00e3o vulner\u00e1veis ao problema.<\/p>\n