Google выпустила ежемесячное обновление для Android Android Security Bulletin—October 2016. Как и в прошлый раз, обновление Android было двухэтапным, первый 2016-10-01 содержит исправления для уязвимостей самого Android, а второй 2016-10-05 относится только к устройствам Nexus. В рамках второго этапа было закрыто целых семь критических уязвимостей, причем две из них с идентификаторами CVE-2016-0758 и CVE-2016-7117 позволяют выполнять удаленный рутинг устройства, что может повлечь за собой перепрошивку устройства для возвращения его в исходное состояние. Фирма Zerodium оценивает стоимость эксплойтов для таких уязвимостей в $200k.Ниже указана таблица с критическими уязвимостями, которые были выпущены в рамках 2016-10-05. Две первых уязвимости являются универсальными и позволяют удаленно исполнять код с привилегиями ядра в системе (RCE+LPE). Первая актуальна только для устройств Nexus 5X и Nexus 6P, а вторая является более универсальной и охватывает все модели Nexus. В случае успешной эксплуатации злоумышленник может удаленно получить максимальные права root на устройстве. Данная ситуация, в свою очередь, может привести к тому, что для удаления вредоносного кода из устройства может понадобиться его перепрошивка (reflashing).
Схожая операция перепрошивки для восстановления контроля над устройством относится и ко всем остальным критическим уязвимостям из таблицы выше. Однако, удаленная их эксплуатация невозможна и атакующему для начала нужно заманить пользователя на загрузку приложения с эксплойтом. Следующие компоненты устройств Nexus подлежат обновлению в рамках 2016-10-05.
- Компонент ядра ASN.1 decoder.
- Сетевая подсистема ядра.
- Видео-драйвер MediaTek.
- Компонент драйвера общей (shared) памяти ядра.
- Компоненты и драйверы производства Qualcomm.
- Драйвер NVIDIA MMC.
- Сервис Mediaserver.
- Драйвер для работы с тачскрином производства Synaptics.
- Подсистема system_server.
- Драйвер NVIDIA GPU.
- Драйвер Motorola USBNet.
Всего было закрыто 20 уязвимостей в рамках первого этапа обновления и 58 в рамках второго. Первый этап не адресовался каким-либо критическим уязвимостям в Android. Уязвимости типа LPE в сервисах ServiceManager, Lock Settings, Mediaserver позволяют атакующим повышать права своего вредоносного приложения в системе, но не до уровня ядра системы (root). Кроме этого, атакующий еще должен заставить пользователя загрузить это вредоносное приложение на смартфон и запустить его. Ниже в таблице указан список этих уязвимостей для упоминавшихся компонентов.
Эксплойты для удаленного рутинга Android являются самыми дорогими из всех возможных эксплойтов для этой мобильной платформы, фирма Zerodium оценивает стоимость такого экземпляра в $200K. Как и в случае с эксплойтом Trident для iOS, атакующим придется использовать для этого три типа уязвимостей, одну для удаленного исполнения кода, вторую для обхода защитных мер ядра (которые появились в Android 7) и еще одну для финального повышения привилегий. Кроме этого с распределенной архитектурой наиболее уязвимого для удаленной эксплуатации сервиса MediaServer в Android 7, сделать это будет непросто.
Мы рекомендуем пользователям установить соответствующие обновления своих устройств Android,
be secure.
