6个月没有补丁的Android 0 day权限提升漏洞

ang010ela 新闻 2019年9月7日发布
Favorite收藏

导语:​自该0 day漏洞提交已经过去了六个月,但谷歌仍然没有该危险的权限提升漏洞。

9月4日,研究人员在网上公布了影响安卓移动操作系统的0 day漏洞。

Android vulnerability

该漏洞位于Video for Linux (V4L2)驱动文件中,该文件用于安卓操作系统处理输入数据。输入恶意输入后,攻击者可以利用V4L2驱动文件来从低权限用户提升到root权限。但为了利用该漏洞,攻击者首先要在目标系统上获得执行低权限代码的能力。虽然该0 day漏洞并不能用于打破用户的手机,但可以让攻击者在初始感染后完全控制用户手机设备。

很容易被武器化

该0 day漏洞的一个攻击场景是与其他恶意APP绑定在一起通过官方应用商店或第三方应用商店来进行分发和传播。用户安装了恶意APP后,0 day漏洞就可以授予恶意APP root权限,然后app可以进行任意操作,比如窃取用户数据,下载其他app等。这是权限提升漏洞在安卓设备中的常见利用场景。

因为该漏洞目前还没有分配CVE编号,因此可能有安全研究人员并没有意识到该0 day漏洞的重要性,但是权限提升漏洞很容易在安卓生态系统中武器化。比如,许多恶意APP就与Dirty Cow权限提升漏洞利用一起来在老版本的手机上获取root权限。

漏洞尚未修复

该漏洞早在2019年3月就提交给了谷歌,但6个月过去了,谷歌在2019年9月发布的谷歌安全公告中仍然不含该漏洞的补丁。目前,仍然没有预防恶意app利用该漏洞的解决方案。考虑到该漏洞的本质,唯一可行的方案是限制与该服务的交互。只有与该服务有合法关系的客户端和服务器才允许通信。

本文翻译自:https://www.zdnet.com/article/zero-day-disclosed-in-android-os/如若转载,请注明原文地址: https://www.4hou.com/info/news/20186.html
点赞 1
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论