Roman GłogulskiAz Android operációs rendszerben nemrégiben felfedeztek egy helyi kiváltságemelkedési sebezhetőséget, ami több eredeti berendezés gyártóját (OEM) veszélyezteti. Az ezt a sebezhetőséget CVE-2023-45779-nek nevezették el, és a Meta Red Team X fedte fel, amelyet megszüntetett az Android 2023. decemberi biztonsági frissítése.
A sebezhetőség oka az APEX modulok insecure signingje, amelyek teszt kulcsokat használnak. Ez lehetőséget ad a támadóknak arra, hogy manipulálják a platform komponenseit rosszindulatú frissítések segítségével. Bár ennek a sebezhetőségnek kihasználásához fizikai hozzáférés szükséges, a nyilvános elérhetősége a GitHubon segítheti a kutatókat a sebezhetőség további elemzésében.
Az, ami elkülöníti ezt a sebezhetőséget, az a betekintést nyújt a Compatibility Test Suite (CTS) és az Android Open Source Project (AOSP) dokumentációiban található gyenge pontokba. A Google elismerte ezeket a korlátokat és szándékozik megoldani őket a közelgő Android 15 kiadásban.
Szerencsére azok a készülékek, amelyek megkapták az Android 2023. december 5-én kiadott biztonsági frissítést, védettek a CVE-2023-45779 ellen. Azonban a régebbi Android verziókat használó felhasználóknak óvintézkedéseket kell tenniük. Ha eszköze elavult verziót futtat, javasolt átváltani egy aktívan támogatott disztribúcióra vagy frissebb modellre váltani.
Tom Hebb a Meta-nál, aki részletesen vizsgálta a sebezhetőséget, elmondta, hogy a probléma a teszt kulcsokkal történő APEX modulok aláírásában rejlik. Ezek a modulok lehetővé teszik az OEM-ek számára, hogy frissítéseket szállítsanak ki a rendszer specifikus komponenseire anélkül, hogy teljes OTA (over-the-air) frissítést igényelnének. Sajnos ugyanazt a nyilvános kulcsot használják, amelyet az Android forráskód-építési fában találni, ami lehetőséget ad a támadóknak a kritikus rendszerkomponensek hamisított frissítéseinek létrehozására.
Fontos megjegyezni, hogy a CVE-2023-45779 hatással van több OEM-re, beleértve az ASUS-t, a Microsoft-ot, a Nokiát, a Nothing-ot, a VIVO-t, a Lenovót és a Fairphone-t. A Meta-analitikusok által végzett részletes tesztelés azt mutatja, hogy potenciálisan az összes ezeknek az OEM-eknek a modellje sebezhető lehet ezzel a hibával szemben.
A sebezhetőség által okozott kockázatok csökkentése érdekében az OEM-eknek felülvizsgálniuk kell az AOSP beállításaikat, javítaniuk kell a dokumentációt, és bővíteniük kell a CTS által nyújtott lefedettséget. Ezzel védelmet biztosíthatnak a felhasználóiknak az engedély nélküli hozzáférés ellen, és fenntarthatják az eszközeik integritását.
Bár a CVE-2023-45779 Proof-of-Concept (PoC) kiaknázása elérhető a GitHubon, főként kutatási célokat szolgál. Azoknak a felhasználóknak, akik még nem kapták meg a biztonsági frissítést, nem kell pánikolniuk, mivel ennek a kiaknázásnak a végrehajtása általában fizikai hozzáférést és speciális ismereteket igényel. Mindazonáltal fontos, hogy éberen maradjunk és tájékozottak legyünk a biztonsági frissítésekről annak érdekében, hogy védekezhessünk a potenciális támadások ellen.
Gyakori kérdések (FAQ):
Q: Mi a CVE-2023-45779 sebezhetőség?
A: A CVE-2023-45779 egy helyi kiváltságemelkedési sebezhetőség az Android operációs rendszerben, amely a platform komponenseinek manipulációját teszi lehetővé rosszindulatú frissítések segítségével.
Q: Mely OEM-eket érinti a sebezhetőség?
A: A sebezhetőség az ASUS, a Microsoft, a Nokia, a Nothing, a VIVO, a Lenovo és a Fairphone OEM-eket érinti.
Q: Hogyan lehet csökkenteni a sebezhetőség kockázatát?
A: Az OEM-eknek ajánlott felülvizsgálni az AOSP beállításaikat, javítaniuk a dokumentációt és bővíteniük a CTS által nyújtott lefedettséget.
Q: Mire figyeljünk, ha még nem kaptuk meg a biztonsági frissítést?
A: Bár a sebezhetőség kihasználásához fizikai hozzáférés és speciális ismeretek szükségesek, fontos figyelmesnek lenni és tájékozottnak maradni a biztonsági frissítésekről a potenciális támadások elleni védekezés érdekében.
The source of the article is from the blog qhubo.com.ni
