Написать пост

Google исправляет уязвимость, позволяющую получать root-доступ к Android-устройствам

Аватар Лапа
Лапа

Уязвимость, эксплуатируемая приложениями, позволяющими пользователям получать полный контроль над Android-устройством — root-права, остается неисправленной вот уже два года с момента обнаружения.

В ядре Linux этот баг был исправлен в апреле 2014 года, но уязвимостью он не считался до февраля 2015 года, когда стали ясны его последствия и баг получил идентификатор CVE-2015-1805. Тогда этот фикс для Linux-ядра не был портирован на Android.

Так было до конца февраля. 19 числа исследователи безопасности из команды C0RE Team уведомили Google, что уязвимость может быть использована на Android, чтобы добиться выполнения кода с привилегиями суперпользователя.

Google начала работать над патчем, который должен был войти в ежемесячное обновление безопасности, но 15 марта исследователи из группы безопасности Zimperium предупредили компанию, что эта уязвимость уже используется для получения root-доступа.

Получение root-прав сводится к снятию ограничения безопасности, порой насильственным способом, что предоставляет приложениям полный контроль над устройством. Обычно root-права используют, чтобы разблокировать некоторые возможности, которые изначально недоступны на устройстве, но точно так же воспользоваться ими могут и вредоносные программы. По этой причине приложения, позволяющие получать root-доступ, не допускаются в магазин приложений Google, а если все же фиксируется установка такого приложения, ее отменяет встроенный в систему сканер программ.

«Google подтвердила существование публично доступного приложения, злоупотребляющего этой уязвимостью на Nexus 5 и Nexus 6 для получения root-доступа», сообщил представитель компании на консультации по безопасности.

Компания уже передала патчи для устранения этой уязвимости производителям устройств, а также добавила их в Android Open Source Project (AOSP) версий 3.4, 3.10 и 3.14. Версии 3.18 и старше ей не подвержены. Кроме того, компания планирует включить этот патч в апрельское ежемесячное обновление безопасности для своих Nexus-устройств.

Следите за новыми постами
Следите за новыми постами по любимым темам
3К открытий3К показов
Также рекомендуем
Обложка поста Один раз недостаточно: двухфакторная аутентификация как норма безопасности
Один раз недостаточно: двухфакторная аутентификация как норма безопасности
Поговорим о том, как применение двухфакторной аутентификации (2FA) помогает в борьбе с киберпреступниками и как ее могут применять различные организации.
Обложка поста Создание Android-приложений стало проще благодаря встроенному ИИ Gemini Pro в Android Studio
Создание Android-приложений стало проще благодаря встроенному ИИ Gemini Pro в Android Studio
Google облегчила мобильную разработку под Android, добавив в Android Studio ИИ чат-бота Gemini Pro с функциями подсказки и написания кода
Обложка поста PeT Software Unleashed: Transforming Privacy with Secure Multi-Party Computation
PeT Software Unleashed: Transforming Privacy with Secure Multi-Party Computation
This article delves into an exciting shift in how we protect privacy, allowing for secure data analysis and sharing without revealing any sensitive information.
Обложка поста Дорожная карта по Android-разработке с нуля
Дорожная карта по Android-разработке с нуля
Рассказываем, как стать Android-разработчиком с нуля, следуя дорожной карте. Вы узнаете, что изучать и в какой последовательности.