Pixel 6 dhe Galaxy S22 preken nga cenueshmëria e re e madhe e kernelit Linux
Një dobësi në dukje e madhe është zbuluar nga studiuesi i sigurisë dhe studenti i doktoraturës në Northwestern, Zhenpeng Lin, duke prekur kernelin në Pixel 6 dhe 6 Pro dhe pajisje të tjera Android që përdorin versionet e kernelit Linux bazuar në 5.10 si seria Galaxy S22. Detajet e sakta për mënyrën se si funksionon dobësia nuk janë publikuar ende, por studiuesi pretendon se ai mund të mundësojë leximin dhe shkrimin arbitrar, përshkallëzimin e privilegjeve dhe çaktivizimin e mbrojtjeve të sigurisë SELinux – me pak fjalë, kjo është një gjë e madhe. Studiuesi ka verifikuar në Android Police se Google nuk ishte i informuar për dobësinë përpara demonstrimit të tij në Twitter.
Asnjë nga detajet e sakta teknike prapa mënyrës se si funksionon shfrytëzimi nuk është publikuar, por një video që pretendon të tregojë shfrytëzimin e përdorur në një Pixel 6 Pro ishte në gjendje të arrinte root dhe të çaktivizonte SELinux. Me mjete të tilla, një aktor keqdashës mund të arrijë shumë dëme.
Bazuar në detajet e pakta të shfaqura në video (të cilat tregojnë një lloj skripti ose procesesh skanimi të ekzekutueshme dhe më pas duke identifikuar se çfarë duket si një adresë ose vendndodhje specifike), ky sulm mund të përdorë një lloj shfrytëzimi të aksesit të kujtesës për të bërë gjënë e tij, potencialisht si cenueshmëria e fundit e Dirty Pipe që preku seritë Galaxy S22, seritë Pixel 6 dhe disa pajisje të tjera që u lansuan me versionet 5.8 të Linux Kernel në Android 12 dhe më vonë. Studiuesi gjithashtu thekson se të gjithë telefonat që përdorin v5.10 të kernel Linux janë prekur, gjë që ne kemi verifikuar se përfshin serinë Galaxy S22 të Samsung. Kjo mund të përfshijë gjithashtu pajisje të tjera Android të kohëve të fundit të cilat janë lansuar me Android 12.
Mund të kontrolloni për të parë versionin e kernelit të telefonit tuaj shumë lehtë, nëse jeni të shqetësuar, duhet të preken vetëm versionet 5.10+.
Duke folur me Lin përmes emailit, ai ka konfirmuar për Android Police se detajet e sakta për cenueshmërinë nuk janë publikuar publikisht. Ai më tej konfirmoi se Google u informua për detajet e cenueshmërisë mbrëmë pasi ne fillimisht folëm me të (dhe pas demonstrimit në Twitter), dhe nuk ka ende një CVE përkatëse.
Shpesh, studiuesit e sigurisë përmbahen nga zbulimi publik i detajeve të çdo lloji në lidhje me dobësitë në një periudhë që njihet si “zbulimi i koordinuar i cenueshmërisë”, ku studiuesit e sigurisë zbulojnë vetëm një shfrytëzim për publikun si një përpjekje e fundit për të mbrojtur përdoruesit e fundit nëse dhe kur. përpjekjet e mëparshme për të arritur kompanitë e përfshira dështojnë. Për shembull, divizioni i kërkimit të sigurisë së brendshme të Google (Project Zero) ka një politikë 90-ditore për një përgjigje ndaj dobësive që nuk po shfrytëzohen në mënyrë aktive dhe një politikë 7-ditore për ato që janë (plus 30 ditë shtesë nëse arnimet futen brenda ajo dritare).
Ndërsa studiuesi nuk ka lëshuar një grup të plotë udhëzimesh për mënyrën se si funksionon kjo dobësi, ne nuk shohim shpesh një ekspozitë publike të një cenueshmërie të madhe si kjo të ndodhë përpara se kompanitë e përfshira në të të informohen. Kjo mund të ndikojë potencialisht në gjëra të tilla si pagesat e shpërblimeve të gabimeve.
Vitin e kaluar Google lëshoi 8.7 milionë dollarë në shpërblime për bug dhe aktualisht kompania thotë se paguan deri në 250,000 dollarë për dobësitë e nivelit të kernelit, gjë që duket të jetë. Dobësia mund të kualifikohet edhe për kategori të tjera të veçanta shpërblimi, por zbulimi i një cenueshmërie publikisht përpara se ta raportojë atë në Google mund të ndikojë në të gjitha këto. Rrethanat shqyrtohen rast pas rasti, por rregullat e publikuara duken sikur zbulimi i cenueshmërisë në Twitter mund të përjashtojë shpërblimin tipik edhe pse video nuk përshkruan plotësisht se si funksionon dobësia. Google në fund e ka fjalën e fundit, dhe shumica e studiuesve duket se gabojnë në anën e kujdesit, duke mos bërë zbulimin publik deri më vonë.
Lin na thotë se beson se demonstrimi i tij është thjesht një provë e konceptit që synon të paralajmërojë përdoruesit e fundit përpara se të korrigjohet, kështu që ata mund të përpiqen të mbrohen (megjithëse metodat për këtë mbrojtje nuk janë ofruar) dhe nuk do të përbëjnë shkelje të rregullave të zbulimit të Google.
Google dhe Samsung nuk i janë përgjigjur ende pyetjeve tona në lidhje me cenueshmërinë, kështu që nuk është e qartë se çfarë lloj programi mund të korrigjohet. Duke pasur parasysh afatin kohor dhe mënyrën se si funksionojnë arnimet e sigurisë të Google, ne mund të mos e shohim këtë problem të adresuar deri në nivelin më të shpejtë të rregullimit të shtatorit, dhe dorëzimi relativisht i fundit i raportit mund të imponojë vonesa të tjera. Prodhuesit e tjerë mund të jenë në gjendje të bëjnë një rregullim për problemin në arnimet e tyre herët nëse ato janë të disponueshme veçmas – Samsung me sa duket e bëri këtë në rastin e Dirty Pipe në fillim të këtij viti.