Zazwyczaj Google wydaje tylko dwie poprawki w danym miesiącu – jego pierwszego dnia oraz piątego. Jedynie w naprawdę wyjątkowych sytuacjach pojawia się także i trzecia poprawka. I taką jest ta z 6 października, dzięki której możliwe było załatania naprawdę sporej dziury!

CVE-2019-2215 i nic więcej

Poprawki z 6 października to właściwie jedna zmiana. Załatano bowiem tylko podatność, którą oznaczono jako CVE-2019-2215.

Dzięki błędowi możliwe było uzyskanie pełnego dostępu do urządzenia z zewnątrz i to bez jakiejkolwiek wiedzy jego użytkownika. Atakujący mogli (i w sumie dalej mogą) nawet zrootować nasze urządzenie bez naszej wiedzy!

W sumie może dałoby się go wykorzystać do świadomego zrootowania naszych urządzeń?

Jak działa luka? Pokazali to pracownicy Google Project Zero korzystając z Terminala uruchomionego na atakowanym urządzeniu!

6 października

Luka w użyciu!

Jak wskazuje Google Project Zero, luka była w użyciu przez amerykańskie przedsiębiorstwo NSO Group, które zajmuje się… cyberochroną oraz cyberywywiadem.

Trzeba przyznać, że znaleźli sobie idealny sposób na śledzenie celów, a może i własnych użytkowników.

Oczywiście oficjalnie (i nieoficjalnie zresztą też) firma nie przyznaje się do działań tego typu.

Załatany, ale nie do końca

Okazuje się, że tę lukę już załatało. I to dawno temu, bo w… grudniu 2017 roku! Jak to się więc stało, że dalej luka jest aktywna?

To proste, załatana ona została ogólnie w kernelu systemu Linux. Potrzebna była także implementacja do kernela samego Androida. A tutaj niestety zapomniano oznaczyć ją jako CVE, a więc nie stała się częścią paczki poprawek w tamtym czasie. W tamtym, ani żadnym innym, aż do teraz, kiedy wreszcie dokończono łatanie.

Kto jest podatny?

W sumie każdy. Tylko urządzenia z poprawkami datowanymi na 6 października 2019 roku możnaby uznać za bezpieczne, a tych na razie jest niewiele…

Lista znanych urządzeń z wydaną poprawką jest krótka, ale znaczna. Znajdują się an niej:

  • Google Pixel,
  • Google Pixel XL,
  • Huawei P20,
  • Google Pixel 2,
  • Google Pixel 2 XL,
  • Xiaomi Redmi 5A,
  • Oppo A3,
  • Xiaomi Redmi Note 5,
  • Xiaomi Mi A1,
  • urządzenia LG z Androidem w wersji Oreo,
  • Samsung Galaxy S7,
  • Moto Z3,
  • Samsung Galaxy S8,
  • Samsung Galaxy S9.

Google udostępniło już patch z 6 października wszystkim producentom urządzeń. Jednak kiedy trafi na nasze urządzenia to już jest zależne od producenta.

Co z Sony?

Liczymy, że firma wyda nowe poprawki na modele flagowe z tego lub poprzedniego roku jeszcze w tym miesiącu. I to wraz z aktualizacją do Androida 10. Może do tego październikowe poprawki trafią także na serię XZ1, ale jeszcze z Androidem 9?
Gorzej z półką średnią oraz niską. Modele z tychże półek cenowych dopiero co otrzymały aktualizacje, a Sony udostępnia dla nich poprawki jedynie raz na około kwartał.

Oczywiście mamy nadzieję, że zostaniemy zaskoczeni i zamiast wydać poprawki z pierwszego dnia miesiąca (jak to zwykle ma miejsce), a właśnie te z szóstego, który ma tę luką załataną.

Źródło: XDA, Android Source

Jeżeli znalazłeś/aś literówkę w tekście, to daj nam o tym znać zaznaczając kursorem problematyczny wyraz, bądź zdanie i przyciśnij Shift + Enter lub kliknij Zgłoś pomyłkę.