18 मार्च 2016 को प्रकाशित
एंड्रॉइड सुरक्षा सलाह नेक्सस सुरक्षा बुलेटिन की पूरक हैं। सुरक्षा सलाह के बारे में अधिक जानकारी के लिए हमारा सारांश पृष्ठ देखें।
सारांश
Google को कुछ Android उपकरणों ( CVE-2015-1805 ) पर कर्नेल में विशेषाधिकार भेद्यता के एक अप्रकाशित स्थानीय उन्नयन का उपयोग करते हुए एक रूटिंग एप्लिकेशन के बारे में पता चला है। किसी डिवाइस को प्रभावित करने के लिए इस एप्लिकेशन के लिए, उपयोगकर्ता को पहले इसे इंस्टॉल करना होगा। Google पहले से ही Verify Apps का उपयोग करके इस भेद्यता का उपयोग करने वाले रूटिंग एप्लिकेशन की स्थापना को ब्लॉक कर देता है - Google Play के भीतर और Google Play के बाहर, और इस विशिष्ट भेद्यता का उपयोग करने वाले एप्लिकेशन का पता लगाने के लिए हमारे सिस्टम को अपडेट कर दिया है।
इस मुद्दे के बचाव की अंतिम परत प्रदान करने के लिए, भागीदारों को 16 मार्च, 2016 को इस मुद्दे के लिए एक पैच प्रदान किया गया था। नेक्सस अपडेट बनाए जा रहे हैं और कुछ दिनों के भीतर जारी किए जाएंगे। इस समस्या के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं।
पृष्ठभूमि
यह अपस्ट्रीम लिनक्स कर्नेल में एक ज्ञात समस्या है जिसे अप्रैल 2014 में ठीक किया गया था लेकिन इसे सुरक्षा समाधान के रूप में नहीं बुलाया गया था और 2 फरवरी 2015 तक CVE-2015-1805 सौंपा गया था। 19 फरवरी 2016 को, C0RE टीम ने Google को सूचित किया कि इस समस्या का एंड्रॉइड पर फायदा उठाया जा सकता है और आगामी नियमित रूप से निर्धारित मासिक अपडेट में शामिल करने के लिए एक पैच विकसित किया गया है।
15 मार्च 2016 को Google को Zimperium से एक रिपोर्ट प्राप्त हुई कि Nexus 5 डिवाइस पर इस भेद्यता का दुरुपयोग किया गया था। Google ने सार्वजनिक रूप से उपलब्ध रूटिंग एप्लिकेशन के अस्तित्व की पुष्टि की है जो डिवाइस उपयोगकर्ता को रूट विशेषाधिकार प्रदान करने के लिए नेक्सस 5 और नेक्सस 6 पर इस भेद्यता का दुरुपयोग करता है।
स्थानीय विशेषाधिकार वृद्धि और मनमाने ढंग से कोड निष्पादन के कारण स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के मुद्दे के रूप में मूल्यांकित किया गया है।
दायरा
यह सलाह सभी नेक्सस डिवाइसों सहित कर्नेल संस्करण 3.4, 3.10 और 3.14 पर सभी अनपैच किए गए एंड्रॉइड डिवाइसों पर लागू होती है। लिनक्स कर्नेल संस्करण 3.18 या उच्चतर का उपयोग करने वाले एंड्रॉइड डिवाइस असुरक्षित नहीं हैं।
शमन
निम्नलिखित शमन हैं जो इस समस्या से उपयोगकर्ताओं के प्रभावित होने की संभावना को कम करते हैं:
- वेरिफाई ऐप्स को उन एप्लिकेशनों की स्थापना को अवरुद्ध करने के लिए अपडेट किया गया है जिनके बारे में हमें पता चला है कि वे Google Play के भीतर और बाहर दोनों जगह इस भेद्यता का फायदा उठाने का प्रयास कर रहे हैं।
- Google Play रूटिंग एप्लिकेशन की अनुमति नहीं देता है, जैसे कि इस समस्या का फायदा उठाना चाहता है।
- लिनक्स कर्नेल संस्करण 3.18 या उच्चतर का उपयोग करने वाले एंड्रॉइड डिवाइस असुरक्षित नहीं हैं।
स्वीकृतियाँ
एंड्रॉइड इस सलाह में उनके योगदान के लिए C0RE टीम और ज़िम्पेरियम को धन्यवाद देना चाहता है।
सुझावित गतिविधियां
एंड्रॉइड सभी उपयोगकर्ताओं को अपने डिवाइस पर अपडेट उपलब्ध होने पर स्वीकार करने के लिए प्रोत्साहित करता है।
ठीक करता है
Google ने एकाधिक कर्नेल संस्करणों के लिए AOSP रिपॉजिटरी में एक फ़िक्स जारी किया है। एंड्रॉइड भागीदारों को इन सुधारों के बारे में सूचित कर दिया गया है और उन्हें लागू करने के लिए प्रोत्साहित किया गया है। यदि और अपडेट की आवश्यकता होगी, तो Android उन्हें सीधे AOSP पर प्रकाशित करेगा।
कर्नेल संस्करण | पैबंद |
---|---|
3.4 | एओएसपी पैच |
3.10 | एओएसपी पैच |
3.14 | एओएसपी पैच |
3.18+ | सार्वजनिक लिनक्स कर्नेल में पैच किया गया |
सामान्य प्रश्न और उत्तर
1. समस्या क्या है?
कर्नेल में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है और डिवाइस को संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके मरम्मत करने की आवश्यकता होगी।
2. कोई हमलावर इस मुद्दे का फायदा कैसे उठाना चाहेगा?
जो उपयोगकर्ता ऐसा एप्लिकेशन इंस्टॉल करते हैं जो इस समस्या का फायदा उठाना चाहता है, वे जोखिम में हैं। रूटिंग एप्लिकेशन (जैसे वह जो इस समस्या का फायदा उठा रहा है) Google Play में प्रतिबंधित है, और Google Verify Apps के माध्यम से Google Play के बाहर इस एप्लिकेशन की स्थापना को रोक रहा है। एक हमलावर को उपयोगकर्ता को प्रभावित एप्लिकेशन को मैन्युअल रूप से इंस्टॉल करने के लिए मनाने की आवश्यकता होगी।
3. कौन से उपकरण प्रभावित हो सकते हैं?
Google ने पुष्टि की है कि यह कारनामा Nexus 5 और 6 पर काम करता है; हालाँकि एंड्रॉइड के सभी अनपैच्ड संस्करणों में भेद्यता होती है।
4. क्या Google ने इस भेद्यता के दुरुपयोग के साक्ष्य देखे हैं?
हाँ, Google ने सार्वजनिक रूप से उपलब्ध रूटिंग टूल का उपयोग करके Nexus 5 पर इस भेद्यता का दुरुपयोग होने का प्रमाण देखा है। Google ने ऐसा कोई शोषण नहीं देखा है जिसे "दुर्भावनापूर्ण" के रूप में वर्गीकृत किया जाएगा।
5. आप इस मुद्दे को कैसे संबोधित करेंगे?
Google Play इस समस्या का फायदा उठाने का प्रयास करने वाले ऐप्स को प्रतिबंधित करता है। इसी तरह, Verify Apps Google Play के बाहर से उन ऐप्स के इंस्टॉलेशन को ब्लॉक कर देता है जो इस समस्या का फायदा उठाने का प्रयास करते हैं। अपडेट तैयार होते ही Google Nexus डिवाइस को भी पैच कर दिया जाएगा और हमने एंड्रॉइड भागीदारों को सूचित कर दिया है ताकि वे इसी तरह के अपडेट जारी कर सकें।
6. मुझे कैसे पता चलेगा कि मेरे पास कोई ऐसा उपकरण है जिसमें इस समस्या का समाधान मौजूद है?
एंड्रॉइड ने हमारे भागीदारों को यह बताने के लिए दो विकल्प प्रदान किए हैं कि उनके डिवाइस इस समस्या के प्रति संवेदनशील नहीं हैं। 18 मार्च 2016 के सुरक्षा पैच स्तर वाले एंड्रॉइड डिवाइस असुरक्षित नहीं हैं। 2 अप्रैल, 2016 और उसके बाद के सुरक्षा पैच स्तर वाले एंड्रॉइड डिवाइस इस समस्या के प्रति संवेदनशील नहीं हैं। सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए इस आलेख का संदर्भ लें।
संशोधन
- 18 मार्च, 2016: एडवाइजरी प्रकाशित।