Android-Sicherheitshinweis — 2016-03-18

Veröffentlicht am 18. März 2016

Android-Sicherheitshinweise ergänzen die Nexus-Sicherheitsbulletins. Weitere Informationen zu Sicherheitshinweisen finden Sie auf unserer Übersichtsseite .

Zusammenfassung

Google ist auf eine Rooting-Anwendung aufmerksam geworden, die auf einigen Android-Geräten eine ungepatchte lokale Sicherheitslücke zur Erhöhung von Berechtigungen im Kernel ausnutzt ( CVE-2015-1805 ). Damit sich diese Anwendung auf ein Gerät auswirkt, muss der Benutzer sie zunächst installieren. Google blockiert bereits die Installation von Root-Anwendungen, die diese Sicherheitslücke ausnutzen – sowohl innerhalb als auch außerhalb von Google Play – mithilfe von „Apps überprüfen“ und hat unsere Systeme aktualisiert, um Anwendungen zu erkennen, die diese spezifische Sicherheitslücke ausnutzen.

Um dieses Problem abschließend zu schützen, wurde den Partnern am 16. März 2016 ein Patch für dieses Problem zur Verfügung gestellt. Nexus-Updates werden erstellt und innerhalb weniger Tage veröffentlicht. Quellcode-Patches für dieses Problem wurden im Android Open Source Project (AOSP)-Repository veröffentlicht.

Hintergrund

Hierbei handelt es sich um ein bekanntes Problem im Upstream-Linux-Kernel, das im April 2014 behoben wurde, aber erst am 2. Februar 2015 als Sicherheitsupdate angekündigt und mit CVE-2015-1805 versehen wurde. Am 19. Februar 2016 hat das C0RE-Team Google darüber informiert Das Problem konnte auf Android ausgenutzt werden und es wurde ein Patch entwickelt, der in ein kommendes, regelmäßig geplantes monatliches Update aufgenommen werden soll.

Am 15. März 2016 erhielt Google eine Meldung von Zimperium, dass diese Sicherheitslücke auf einem Nexus 5-Gerät ausgenutzt wurde. Google hat die Existenz einer öffentlich zugänglichen Root-Anwendung bestätigt, die diese Schwachstelle auf Nexus 5 und Nexus 6 ausnutzt, um dem Gerätebenutzer Root-Rechte zu gewähren.

Dieses Problem wird als Problem mit dem Schweregrad „Kritisch“ eingestuft, da die Möglichkeit besteht, dass eine lokale Rechteausweitung und die Ausführung willkürlichen Codes zu einer dauerhaften Gefährdung des lokalen Geräts führen.

Umfang

Diese Empfehlung gilt für alle ungepatchten Android-Geräte mit den Kernel-Versionen 3.4, 3.10 und 3.14, einschließlich aller Nexus-Geräte. Android-Geräte mit der Linux-Kernel-Version 3.18 oder höher sind nicht anfällig.

Abhilfemaßnahmen

Die folgenden Abhilfemaßnahmen verringern die Wahrscheinlichkeit, dass Benutzer von diesem Problem betroffen sind:

  • Verify Apps wurde aktualisiert, um die Installation von Anwendungen zu blockieren, von denen wir erfahren haben, dass sie versuchen, diese Sicherheitslücke sowohl innerhalb als auch außerhalb von Google Play auszunutzen.
  • Bei Google Play ist das Rooten von Anwendungen wie der, die dieses Problem ausnutzen möchte, nicht zulässig.
  • Android-Geräte mit der Linux-Kernel-Version 3.18 oder höher sind nicht anfällig.

Danksagungen

Android möchte dem C0RE-Team und Zimperium für ihre Beiträge zu dieser Empfehlung danken.

Vorgeschlagene Handlungen

Android empfiehlt allen Benutzern, Updates für ihre Geräte zu akzeptieren, sobald diese verfügbar sind.

Korrekturen

Google hat im AOSP-Repository einen Fix für mehrere Kernel-Versionen veröffentlicht. Android-Partner wurden über diese Korrekturen informiert und werden aufgefordert, sie anzuwenden. Wenn weitere Updates erforderlich sind, veröffentlicht Android diese direkt auf AOSP.

Kernelversion Patch
3.4 AOSP-Patch
3.10 AOSP-Patch
3.14 AOSP-Patch
3,18+ Im öffentlichen Linux-Kernel gepatcht

Häufige Fragen und Antworten

1. Was ist das Problem?

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kernel auszuführen. Dieses Problem wird als „Kritisch“ eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht und das Gerät möglicherweise durch ein erneutes Flashen des Betriebssystems repariert werden muss.

2. Wie würde ein Angreifer versuchen, dieses Problem auszunutzen?

Benutzer, die eine Anwendung installieren, die dieses Problem ausnutzen möchte, sind gefährdet. Rooting-Anwendungen (wie die, die dieses Problem ausnutzt) sind in Google Play verboten und Google blockiert die Installation dieser Anwendung außerhalb von Google Play über Verify Apps. Ein Angreifer müsste einen Benutzer dazu verleiten, eine betroffene Anwendung manuell zu installieren.

3. Welche Geräte könnten betroffen sein?

Google hat bestätigt, dass dieser Exploit auf Nexus 5 und 6 funktioniert; Allerdings weisen alle ungepatchten Android-Versionen die Sicherheitslücke auf.

4. Hat Google Hinweise darauf gesehen, dass diese Sicherheitslücke ausgenutzt wurde?

Ja, Google hat Hinweise darauf gesehen, dass diese Sicherheitslücke auf einem Nexus 5 mithilfe eines öffentlich verfügbaren Root-Tools ausgenutzt wurde. Google hat keinen Missbrauch beobachtet, der als „böswillig“ einzustufen wäre.

5. Wie werden Sie dieses Problem angehen?

Google Play verbietet Apps, die versuchen, dieses Problem auszunutzen. Ebenso blockiert Verify Apps die Installation von Apps von außerhalb von Google Play, die versuchen, dieses Problem auszunutzen. Google Nexus-Geräte werden ebenfalls gepatcht, sobald ein Update verfügbar ist und wir Android-Partner benachrichtigt haben, damit sie ähnliche Updates veröffentlichen können.

6. Woher weiß ich, ob ich ein Gerät habe, das eine Lösung für dieses Problem enthält?

Android hat unseren Partnern zwei Optionen bereitgestellt, um mitzuteilen, dass ihre Geräte von diesem Problem nicht betroffen sind. Android-Geräte mit einem Sicherheitspatch-Level vom 18. März 2016 sind nicht anfällig. Android-Geräte mit einem Sicherheitspatch-Level vom 2. April 2016 und höher sind von diesem Problem nicht anfällig. Anweisungen zum Überprüfen des Sicherheitspatch-Levels finden Sie in diesem Artikel .

Überarbeitungen

  • 18. März 2016: Beratung veröffentlicht.