Android项目维护人员在初次报告后六个月未能修复危险的权限
9月4日,在线发布了关于影响Android移动操作系统的零日漏洞的详细信息。
该漏洞存在于Android OS附带的Video for Linux(V4L2)驱动程序处理输入数据的方式。
向驱动程序提供恶意输入可以允许攻击者将其访问权限从低级用户提升为root用户访问权限。
好消息是,这个漏洞 - 被归类为特权升级问题 - 无法远程利用。攻击者需要本地访问权限,这意味着他们需要预先在设备上植入恶意代码。
这个零日不能用于打入用户的手机,但它可以用来使黑客攻击更糟糕,允许攻击者完全控制设备,发布初始感染。
零日可以很容易地武器化
这种零日可以派上用场的一种情况是,恶意软件作者将其捆绑在通过官方Play商店或第三方应用商店分发的恶意应用中。
用户安装其中一个恶意应用程序后,零日可以授予恶意应用程序root访问权限,然后应用程序可以执行所需的任何操作 - 窃取用户数据,下载其他应用程序等。
这就是Android设备上通常使用所有权限提升错误的方法。
一些安全专家可能会淡化这个零日的重要性 - 它尚未获得CVE编号 - 但是权限升级漏洞很容易在Android生态系统上进行武器化,这与其他大多数操作系统不同。不被视为优先事项。
例如,如今,许多恶意Android应用程序与Dirty COW权限提升漏洞捆绑在一起,使应用程序可以在较旧的Android智能手机上获得root访问权限。
ANDROID开发者已收到通知,但未能提供补丁
然而,尽管恶意应用程序滥用权限升级错误以获得root访问权限的历史,Android开源项目(AOSP)的维护人员还没有修补此问题。
自从两位趋势科技安全研究人员发现这个问题后,他们在今年3月首次向AOSP报告了这个问题。尽管承认错误报告并承诺修补程序,修复程序从未到来。
昨天,趋势科技的研究人员在谷歌发布了2019年9月的Android安全公告后公布了他们的调查结果,该公告没有修复他们的漏洞。
目前,没有简单的解决方案来阻止恶意应用程序利用此问题。