Aviso de segurança do Android — 18-03-2016

Publicado em 18 de março de 2016

Os avisos de segurança do Android são complementares aos boletins de segurança do Nexus. Consulte nossa página de resumo para obter mais informações sobre os avisos de segurança.

Resumo

O Google tomou conhecimento de um aplicativo de root usando uma vulnerabilidade de elevação de privilégio local não corrigida no kernel em alguns dispositivos Android ( CVE-2015-1805 ). Para que este aplicativo afete um dispositivo, o usuário deve primeiro instalá-lo. O Google já bloqueia a instalação de aplicativos de root que usam essa vulnerabilidade — tanto no Google Play quanto fora do Google Play — usando o Verify Apps e atualizou nossos sistemas para detectar aplicativos que usam essa vulnerabilidade específica.

Para fornecer uma camada final de defesa para esse problema, os parceiros receberam um patch para esse problema em 16 de março de 2016. As atualizações do Nexus estão sendo criadas e serão lançadas em alguns dias. Os patches de código-fonte para esse problema foram lançados no repositório do Android Open Source Project (AOSP).

Fundo

Este é um problema conhecido no kernel Linux upstream que foi corrigido em abril de 2014, mas não foi chamado como uma correção de segurança e atribuído CVE-2015-1805 até 2 de fevereiro de 2015. Em 19 de fevereiro de 2016, a equipe C0RE notificou o Google que o problema pode ser explorado no Android e um patch foi desenvolvido para ser incluído em uma próxima atualização mensal programada regularmente.

Em 15 de março de 2016, o Google recebeu um relatório do Zimperium de que essa vulnerabilidade havia sido abusada em um dispositivo Nexus 5. O Google confirmou a existência de um aplicativo de root disponível publicamente que abusa dessa vulnerabilidade no Nexus 5 e Nexus 6 para fornecer privilégios de root ao usuário do dispositivo.

Esse problema é classificado como um problema de gravidade Crítica devido à possibilidade de um escalonamento de privilégio local e execução arbitrária de código que leva ao comprometimento permanente do dispositivo local.

Alcance

Este aviso se aplica a todos os dispositivos Android sem patch nas versões do kernel 3.4, 3.10 e 3.14, incluindo todos os dispositivos Nexus. Dispositivos Android usando kernel Linux versão 3.18 ou superior não são vulneráveis.

Mitigações

Veja a seguir as mitigações que reduzem a probabilidade de os usuários serem afetados por esse problema:

  • O Verify Apps foi atualizado para bloquear a instalação de aplicativos que descobrimos que estão tentando explorar essa vulnerabilidade dentro e fora do Google Play.
  • O Google Play não permite o root de aplicativos, como o que procura explorar esse problema.
  • Dispositivos Android usando kernel Linux versão 3.18 ou superior não são vulneráveis.

Reconhecimentos

O Android gostaria de agradecer à equipe C0RE e à Zimperium por suas contribuições para este aviso.

Ações sugeridas

O Android incentiva todos os usuários a aceitar atualizações em seus dispositivos quando estiverem disponíveis.

Conserta

O Google lançou uma correção no repositório AOSP para várias versões do kernel. Os parceiros Android foram notificados sobre essas correções e são incentivados a aplicá-las. Se forem necessárias atualizações adicionais, o Android as publicará diretamente no AOSP.

Versão do kernel Correção
3.4 Patch AOSP
3.10 Patch AOSP
3.14 Patch AOSP
3,18+ Corrigido no kernel Linux público

Perguntas e respostas comuns

1. Qual é o problema?

Uma vulnerabilidade de elevação de privilégio no kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário no kernel. Esse problema é classificado como uma gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo e o dispositivo possivelmente precisaria ser reparado com a atualização do sistema operacional.

2. Como um invasor tentaria explorar esse problema?

Os usuários que instalam um aplicativo que procura explorar esse problema estão em risco. Aplicativos de root (como o que está explorando esse problema) são proibidos no Google Play, e o Google está bloqueando a instalação desse aplicativo fora do Google Play por meio do Verify Apps. Um invasor precisaria convencer um usuário a instalar manualmente um aplicativo afetado.

3. Quais dispositivos podem ser afetados?

O Google confirmou que esse exploit funciona no Nexus 5 e 6; no entanto, todas as versões não corrigidas do Android contêm a vulnerabilidade.

4. O Google viu evidências de abuso dessa vulnerabilidade?

Sim, o Google viu evidências de abuso dessa vulnerabilidade em um Nexus 5 usando uma ferramenta de root disponível publicamente. O Google não observou nenhuma exploração que pudesse ser classificada como “maliciosa”.

5. Como você abordará esta questão?

O Google Play proíbe aplicativos que tentam explorar esse problema. Da mesma forma, o Verify Apps bloqueia a instalação de aplicativos de fora do Google Play que tentam explorar esse problema. Os dispositivos Google Nexus também serão corrigidos assim que uma atualização estiver pronta e notificamos os parceiros Android para que eles possam lançar atualizações semelhantes.

6. Como posso saber se tenho um dispositivo que contém uma correção para este problema?

O Android forneceu duas opções para nossos parceiros comunicarem que seus dispositivos não são vulneráveis ​​a esse problema. Dispositivos Android com um nível de patch de segurança de 18 de março de 2016 não são vulneráveis. Dispositivos Android com um nível de patch de segurança de 2 de abril de 2016 e posterior não são vulneráveis ​​a esse problema. Consulte este artigo para obter instruções sobre como verificar o nível do patch de segurança.

Revisões

  • 18 de março de 2016: Comunicado publicado.