Участники проекта Google Project Zero нашли в ядре Android уязвимость, с помощью которой можно получить root-доступ к мобильному устройству. По словам аналитиков, как минимум один эксплойт на ее основе уже применяется в кибератаках.

Как работает обнаруженная 0-day в Android

Уязвимость, которую описала эксперт Project Zero Мэдди Стоун (Maddie Stone), получила идентификатор CVE-2019-2215. Обнаруженная ошибка относится к классу use-after-free и связана с тем, как один из драйверов в ядре Android организует списки ожидания. Баг позволяет стороннему пользователю или приложению повысить свои привилегии до максимального уровня.

Стоун также указала, что уязвимость доступна из песочницы Chrome. Это позволяет использовать ее удаленно в рамках вредоносных интернет-кампаний, комбинируя с другими багами браузера.

Под угрозой большинство актуальных Android-устройств

Эксперты уточняют, что в декабре 2017 года эту ошибку уже исправляли — она отсутствует в ядре Android версий 3.18, 4.14, 4.4 и 4.9. По неизвестным причинам последние версии ОС вновь оказались уязвимы — специалисты Google поместили в зону риска все устройства с Android 8.0 и старше, включая Pixel 1, 1 XL, 2, 2 XL (но не 3 или 3a), Huawei P20, Xiaomi Redmi 5A, Redmi Note 5, A1, Samsung S7, S8, S9 и другие.

Представители Google уже оповестили затронутых производителей, призвав тех экстренно обновить продукты. По их словам, заплатка ядра уже доступна разработчикам на технических ресурсах. Смартфоны Google Pixel получат патчи в рамках октябрьского обновления.

Вредоносный потенциал очередной 0-day Android

Исследователи подчеркнули, что эксплойт практически не требует доработок под конкретную цель и поэтому, вероятно, войдет в арсеналы многих киберпреступников.

В то же время характер уязвимости ограничивает ее применение в массированных кампаниях. Поскольку CVE-2019-2215 не позволяет выполнять код, злоумышленники будут комбинировать ее с другими багами. Такие сочетания чаще всего встречаются в направленных атаках, которые организуют продвинутые группировки.

В применении эксплойта на основе свежей 0-day уже подозревают компанию NSO Group или кого-то из ее клиентов. Эта израильская организация разрабатывает решения для взлома компьютерных систем и скрытной слежки за пользователями. Именно с ней связывают атаки Android-шпиона Pegasus и взлом WhatsApp в мае нынешнего года. Представители NSO Group традиционно отрицают причастность к киберпреступлениям, утверждая, что помогают спецслужбам бороться с террористами.

Ранее в iOS 13 также обнаружилась уязвимость, которую разработчики к тому времени успели закрыть. Ошибка позволяла отправлять устройствам Apple сторонние команды, в том числе через приложения из App Store.

Категории: Главное, Уязвимости