Roman GłogulskiEgy frissen felfedezett helyi előjogosultság-emelkedési sebezhetőség jelent meg az Android operációs rendszerben, amely veszélyt jelent több gyártó számára. Ezt a sebezhetőséget, amit CVE-2023-45779 néven említenek, a Meta Red Team X csapata fedezte fel, és az Android 2023 decemberi biztonsági frissítésében meg is oldották.
A sebezhetőség az APEX modulok biztonságtalan aláírásából ered, amikor teszt kulcsokat használnak, ezáltal lehetővé téve a támadók számára, hogy rosszindulatú frissítéseken keresztül manipulálják a platform komponenseit. Bár ehhez a sebezhetőség kihasználásához fizikai hozzáférésre van szükség a készüléken, nyilvános elérhetősége a GitHubon segíti a kutatókat a sebezhetőség részletesebb elemzésében.
Az, ami ezt a sebezhetőséget igazán megkülönbözteti, az az, hogy rávilágít a Kompatibilitási Teszt Suite (CTS) és az Android Nyílt Forráskódú Projekt (AOSP) dokumentációban rejlő gyengeségekre. A Google elismerte ezeket a korlátokat, és az Android 15 következő kiadásában meg is kívánja őket szüntetni.
Szerencsére a 2023 december 5-én kiadott Android biztonsági javítást kapott eszközök védettek a CVE-2023-45779 ellen. Azonban azoknak a felhasználóknak, akik régebbi Android verziót futtatnak, óvintézkedéseket kell tenniük. Ha a készülékének elavult verziója van, javasolt aktív támogatással rendelkező disztribúcióra váltani, vagy újabb modellre frissíteni.
Tom Hebb, a Meta szakembere, aki átnézte a sebezhetőséget, elmagyarázta, hogy a probléma az APEX modulok aláírásában rejlik, amikor a nyilvánosan elérhető teszt kulcsokat használják az AOSP-ból. Ezek a modulok lehetővé teszik az OEMek számára, hogy frissítéseket szállítsanak specifikus rendszerkomponensekre, anélkül, hogy teljes Over-the-Air (OTA) frissítésre lenne szükség. Sajnos ugyanazt a nyilvános kulcsot használják, amely megtalálható az Android forráskód-építő fában, ezáltal sebezhetőséget teremtve a támadóknak a kritikus rendszerkomponens frissítéseinek hamisítására.
Fontos megjegyezni, hogy a CVE-2023-45779 érinti több OEMet is, beleértve az ASUS-t, a Microsoftot, a Nokiát, a Nothingot, a VIVO-t, a Lenovót és a Fairphone-t. A Meta elemzőinek végzett alapos tesztelése szerint ez a sebezhetőség potenciálisan az összes ezeknek az OEMeknek a modelljeire vonatkozhat.
A sebezhetőség kockázatának minimalizálása érdekében az OEMeknek érdemes áttekinteniük AOSP-beállításaikat, javítaniuk a dokumentációt és növelniük a CTS által nyújtott lefedettséget. Így megóvhatják felhasználóikat az jogosulatlan hozzáféréstől és megőrizhetik eszközeik integritását.
Bár a CVE-2023-45779 Proof-of-Concept (PoC) kihasználása elérhető a GitHubon, ez elsősorban kutatási célokra szolgál. Azoknak a felhasználóknak, akik még nem kapták meg a biztonsági frissítést, nem kell pánikba esniük, mivel ennek a kihasználása általában fizikai hozzáférést és szakértői tudást igényel. Mindazonáltal fontos, hogy folyamatosan készenlétben maradjunk és tájékozódjunk a biztonsági frissítésekről, hogy védekezhessünk potenciális támadások ellen.
FAQ:
1. Mik az APEX modulok?
Az APEX (Android Platform EXecutables) modulok olyan fájlok, amelyek lehetővé teszik az Android rendszer egyes komponenseinek frissítését az alaprendszerrel teljes telepítés vagy OTA frissítés nélkül.
2. Mi a CTS (Kompatibilitási Teszt Suite)?
A CTS egy eszközkészlet, amely segít a gyártóknak a saját eszközeik Android kompatibilitásának ellenőrzésében. Ez azt jelenti, hogy a CTS megvizsgálja, hogy a gyártók saját módosításai nem vezettek be olyan hibákat vagy eltéréseket, amelyek interferálnak az Android rendszer alapvető működésével.
Forrás: [link]
The source of the article is from the blog combopop.com.br
