เผยแพร่เมื่อ 18 มีนาคม 2016
คำแนะนำด้านความปลอดภัยของ Android เป็นส่วนเสริมของกระดานข่าวสารความปลอดภัยของ Nexus อ้างถึง หน้าสรุป ของเราสำหรับข้อมูลเพิ่มเติมเกี่ยวกับคำแนะนำด้านความปลอดภัย
สรุป
Google ได้รับทราบถึงแอปพลิเคชันการรูทโดยใช้ช่องโหว่การยกระดับสิทธิ์ในเครื่องที่ไม่ได้รับการแก้ไขในเคอร์เนลบนอุปกรณ์ Android บางรุ่น ( CVE-2015-1805 ) เพื่อให้แอปพลิเคชันนี้มีผลกับอุปกรณ์ ผู้ใช้ต้องติดตั้งก่อน Google บล็อกการติดตั้งแอปพลิเคชันการรูทที่ใช้ช่องโหว่นี้แล้ว — ทั้งใน Google Play และภายนอก Google Play — โดยใช้ Verify Apps และได้อัปเดตระบบของเราเพื่อตรวจหาแอปพลิเคชันที่ใช้ช่องโหว่เฉพาะนี้
เพื่อเป็นการป้องกันขั้นสุดท้ายสำหรับปัญหานี้ พาร์ทเนอร์ได้รับแพตช์สำหรับปัญหานี้ในวันที่ 16 มีนาคม 2016 การอัปเดต Nexus กำลังถูกสร้างขึ้นและจะออกภายในสองสามวัน แพทช์ซอร์สโค้ดสำหรับปัญหานี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) แล้ว
พื้นหลัง
นี่เป็นปัญหาที่ทราบในเคอร์เนลอัปสตรีมของ Linux ที่ได้รับการแก้ไขในเดือนเมษายน 2014 แต่ไม่ได้เรียกว่าเป็นโปรแกรมแก้ไขด้านความปลอดภัย และมอบหมาย CVE-2015-1805 จนถึง 2 กุมภาพันธ์ 2015 เมื่อวันที่ 19 กุมภาพันธ์ 2016 ทีม C0RE ได้แจ้ง Google ว่า ปัญหาสามารถใช้ประโยชน์ได้บน Android และโปรแกรมแก้ไขได้รับการพัฒนาให้รวมอยู่ในการอัปเดตรายเดือนตามกำหนดเวลาเป็นประจำ
เมื่อวันที่ 15 มีนาคม 2016 Google ได้รับรายงานจาก Zimperium ว่าช่องโหว่นี้ถูกใช้ในทางที่ผิดบนอุปกรณ์ Nexus 5 Google ได้ยืนยันการมีอยู่ของแอปพลิเคชันการรูทที่เผยแพร่ต่อสาธารณะซึ่งใช้ช่องโหว่นี้ในทางที่ผิดบน Nexus 5 และ Nexus 6 เพื่อให้ผู้ใช้อุปกรณ์มีสิทธิ์รูท
ปัญหานี้จัดอยู่ในประเภท ปัญหาร้ายแรง เนื่องจากมีความเป็นไปได้ที่จะมีการยกระดับสิทธิ์ในเครื่องและการใช้รหัสโดยอำเภอใจซึ่งนำไปสู่การประนีประนอมอุปกรณ์ถาวรในเครื่อง
ขอบเขต
คำแนะนำนี้ใช้กับอุปกรณ์ Android ที่ไม่ได้รับการแพตช์ทั้งหมดในเคอร์เนลเวอร์ชัน 3.4, 3.10 และ 3.14 รวมถึงอุปกรณ์ Nexus ทั้งหมด อุปกรณ์ Android ที่ใช้เคอร์เนล Linux เวอร์ชัน 3.18 หรือสูงกว่านั้นไม่มีช่องโหว่
การบรรเทาสาธารณภัย
ต่อไปนี้คือการบรรเทาผลกระทบที่ลดโอกาสที่ผู้ใช้จะได้รับผลกระทบจากปัญหานี้:
- ตรวจสอบว่าแอปได้รับการอัปเดตเพื่อบล็อกการติดตั้งแอปพลิเคชันที่เราได้เรียนรู้ว่ากำลังพยายามใช้ประโยชน์จากช่องโหว่นี้ทั้งภายในและภายนอก Google Play
- Google Play ไม่อนุญาตให้มีการรูทแอปพลิเคชัน เช่น แอปพลิเคชันที่พยายามหาประโยชน์จากปัญหานี้
- อุปกรณ์ Android ที่ใช้ เคอร์เนล Linux เวอร์ชัน 3.18 หรือสูงกว่านั้นไม่มีช่องโหว่
รับทราบ
Android ขอขอบคุณ ทีม C0RE และ Zimperium สำหรับการมีส่วนร่วมในคำแนะนำนี้
การดำเนินการที่แนะนำ
Android สนับสนุนให้ผู้ใช้ทุกคนยอมรับการอัปเดตอุปกรณ์ของตนเมื่อพร้อมใช้งาน
แก้ไข
Google ได้เปิดตัวการแก้ไขในที่เก็บ AOSP สำหรับเคอร์เนลหลายเวอร์ชัน พาร์ทเนอร์ Android ได้รับแจ้งเกี่ยวกับการแก้ไขเหล่านี้แล้ว และขอแนะนำให้ใช้การแก้ไขดังกล่าว หากต้องการอัปเดตเพิ่มเติม Android จะเผยแพร่ไปยัง AOSP โดยตรง
| เวอร์ชันเคอร์เนล | ปะ |
|---|---|
| 3.4 | แพทช์ AOSP |
| 3.10 | แพทช์ AOSP |
| 3.14 | แพทช์ AOSP |
| 3.18+ | แพตช์ในเคอร์เนล Linux สาธารณะ |
คำถามและคำตอบทั่วไป
1. มีปัญหาอะไร?
การยกระดับช่องโหว่ของสิทธิ์ในเคอร์เนลอาจทำให้แอพพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจในเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทความรุนแรงที่สำคัญเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม และอุปกรณ์อาจจำเป็นต้องได้รับการซ่อมแซมโดยการแฟลชระบบปฏิบัติการอีกครั้ง
2. ผู้โจมตีจะพยายามใช้ประโยชน์จากปัญหานี้อย่างไร
ผู้ใช้ที่ติดตั้งแอปพลิเคชันที่พยายามใช้ประโยชน์จากปัญหานี้จะมีความเสี่ยง แอปพลิเคชันการรูท (เช่นแอปพลิเคชันที่ใช้ประโยชน์จากปัญหานี้) เป็นสิ่งต้องห้ามใน Google Play และ Google กำลังบล็อกการติดตั้งแอปพลิเคชันนี้นอก Google Play ผ่าน Verify Apps ผู้โจมตีจะต้องโน้มน้าวให้ผู้ใช้ติดตั้งแอปพลิเคชันที่ได้รับผลกระทบด้วยตนเอง
3. อุปกรณ์ใดบ้างที่อาจได้รับผลกระทบ
Google ได้ยืนยันว่าการหาช่องโหว่นี้ใช้งานได้บน Nexus 5 และ 6; อย่างไรก็ตาม Android เวอร์ชันที่ไม่ได้รับการแก้ไขทั้งหมดมีช่องโหว่
4. Google เคยเห็นหลักฐานว่าช่องโหว่นี้ถูกใช้ในทางที่ผิดหรือไม่
ใช่ Google ได้เห็นหลักฐานว่าช่องโหว่นี้ถูกใช้ในทางที่ผิดบน Nexus 5 โดยใช้เครื่องมือการรูทที่เผยแพร่ต่อสาธารณะ Google ไม่ได้สังเกตการแสวงหาผลประโยชน์ใดๆ ที่จะถูกจัดประเภทว่า "เป็นอันตราย"
5. คุณจะจัดการกับปัญหานี้อย่างไร?
Google Play ห้ามไม่ให้แอปพยายามใช้ประโยชน์จากปัญหานี้ ในทำนองเดียวกัน Verify Apps จะบล็อกการติดตั้งแอปจากภายนอก Google Play ที่พยายามใช้ประโยชน์จากปัญหานี้ อุปกรณ์ Google Nexus จะได้รับการติดตั้งทันทีที่การอัปเดตพร้อม และเราได้แจ้งให้พันธมิตร Android ทราบแล้ว เพื่อให้พวกเขาสามารถเผยแพร่การอัปเดตที่คล้ายคลึงกันได้
6. ฉันจะรู้ได้อย่างไรว่าฉันมีอุปกรณ์ที่มีการแก้ไขปัญหานี้
Android ได้ให้สองทางเลือกแก่พันธมิตรของเราในการแจ้งว่าอุปกรณ์ของพวกเขาไม่เสี่ยงต่อปัญหานี้ อุปกรณ์ Android ที่มีระดับแพตช์ความปลอดภัยเมื่อวันที่ 18 มีนาคม 2559 ไม่มีช่องโหว่ อุปกรณ์ Android ที่มีระดับแพตช์ความปลอดภัยในวันที่ 2 เมษายน 2016 และใหม่กว่าจะไม่เสี่ยงต่อปัญหานี้ อ้างถึง บทความนี้ สำหรับคำแนะนำเกี่ยวกับวิธีการตรวจสอบระดับแพตช์ความปลอดภัย
การแก้ไข
- 18 มีนาคม 2559: เผยแพร่คำแนะนำ