Спецпроекты

Безопасность

Google с опозданием на 3 месяца залатал «дыру» в Android, которую вовсю использовали хакеры

В рамках майского обновления Android выпущен патч к уязвимости, унаследованной ОС от Linux. Ошибка в ядре открытой ОС была выявлена экспертами самого Google, но почему-то ее устранение заняло у компании больше четырех месяцев. Баг уже эксплуатировали хакеры.

Наследство Linux

Google устранил критическую уязвимость в ядре Android, которой уже активно пользовались киберзлоумышленники. Исправления были внесены в рамках кумулятивного патча, выпущенного 5 мая 2022 г. Еще один патч для Android был выпущен всего четырьмя днями ранее.

Уязвимость CVE-2021-22600 — это баг в ядре Linux, на базе которого построена ОС Android, позволяющий повышать привилегии локального пользователя. Уязвимость, соответственно, затрагивала не только пользователей Android, но и системы на базе Linux и его деривативов.

Проблема была выявлена еще в январе 2022 г. Тогда же эксперты Google представили исправление и передали его поставщикам дистрибутивов Linux. Однако интеграция исправления в Android почему-то заняла несколько месяцев.

Это тем более удивительно с учетом активной эксплуатации уязвимости со стороны злоумышленников, о чем Агентство по защите цифровой инфраструктуры США (CISA) выпустило бюллетень в апреле 2022 г. В Google утверждают, что эксплуатация бага носила «ограниченный, узконаправленный характер».

gugl_600.jpg
Google наконец устранил баг в Android, обнаруженный в январе 2022 года

«Вероятнее всего, эксплуатация уязвимости в Android началась уже после раскрытия информации для Linux со стороны Google, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Только этим можно объяснить вялое внимание к багу разработчика Android. К тому же уязвимость можно эксплуатировать только локально, то есть, держа в руках чужой или свой смартфон; такие баги не могут получать широкого распространения».

Повышение привилегий и другие неприятности

В публикации издания Bleeping Computer указывает, что точно неизвестно, каким именно образом уязвимость эксплуатируется, но вполне вероятно, что ее используют для выполнения команд, требующих повышенных прав в системе, что открывает возможности для перемещения по корпоративным сетям, в которых располагаются скомпрометированные системы.

В недавних версиях Android (10-12) реализованы более строгие механизмы выдачи разрешений приложениям, что затрудняет злоумышленникам внедрение вредоносов и получение ими доступа к системным функциям. Поэтому вполне вероятен повышенный интерес злоумышленников к повышению привилегий уже после внедрения вредоноса. Уязвимость также может использоваться для рутинга устройства, отмечает Bleeping Computer.

Среди прочих уязвимостей, которые устранены майскими патчами, — баги в Android Framework, позволяющих повышать привилегии и раскрывать данные; три уязвимости с повышением привилегий, два DoS-бага и две ошибки с раскрытием данных в системе Android; три уязвимости с повышением привилегий и одна — с раскрытием данных в ядре Android; три высокоопасных уязвимости в компонентах MediaTek и 15 высокоопасных и одна критическая уязвимость в компонентах Qualcomm.

Обновления касаются только версий Android, начиная с 10-й. Более ранние — не обновляются.

Роман Георгиев

Короткая ссылка