6个月没有补丁的Android 0 day权限提升漏洞

9月4日,研究人员在网上公布了影响安卓移动操作系统的0 day漏洞。

该漏洞位于Video for Linux (V4L2)驱动文件中,该文件用于安卓操作系统处理输入数据。输入恶意输入后,攻击者可以利用V4L2驱动文件来从低权限用户提升到root权限。但为了利用该漏洞,攻击者首先要在目标系统上获得执行低权限代码的能力。虽然该0 day漏洞并不能用于打破用户的手机,但可以让攻击者在初始感染后完全控制用户手机设备。

很容易被武器化

该0 day漏洞的一个攻击场景是与其他恶意APP绑定在一起通过官方应用商店或第三方应用商店来进行分发和传播。用户安装了恶意APP后,0 day漏洞就可以授予恶意APP root权限,然后app可以进行任意操作,比如窃取用户数据,下载其他app等。这是权限提升漏洞在安卓设备中的常见利用场景。

因为该漏洞目前还没有分配CVE编号,因此可能有安全研究人员并没有意识到该0 day漏洞的重要性,但是权限提升漏洞很容易在安卓生态系统中武器化。比如,许多恶意APP就与Dirty Cow权限提升漏洞利用一起来在老版本的手机上获取root权限。

漏洞尚未修复

该漏洞早在2019年3月就提交给了谷歌,但6个月过去了,谷歌在2019年9月发布的谷歌安全公告中仍然不含该漏洞的补丁。目前,仍然没有预防恶意app利用该漏洞的解决方案。考虑到该漏洞的本质,唯一可行的方案是限制与该服务的交互。只有与该服务有合法关系的客户端和服务器才允许通信。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190907A0JBJS00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券