Android: Błąd bezpieczeństwa w sterowniku kamery. Google nie zamierza go łatać

Badacze ujawnili kolejną, dość poważną lukę w systemie Android. Nie pozwala co prawda na przejęcie systemu bezpośrednio, ale zapewnia zwiększony dostęp temu cyberprzestępcy, który już zdołał umieścić w telefonie szkodliwy kod. Jakby tego było mało, obejmuje wszystkie wersje systemu, a Google, zdaniem badaczy, nieszczególnie się tym przejmuje.

Luka jest związana z eskalacją uprawnień i znajduje się w sterowniku V4L2, który Android i inne systemy linuksowe wykorzystują do przechwytywania wideo. Technicznie rzecz ujmując, wynika z braku kontroli operacji wykonywanych na obiektach. Naukowcy z Zero Day Initiative firmy Trend Micro stwierdzili, że wykorzystując tę podatność, napastnik może łatwo uzyskać dostęp do uprzywilejowanych części jądra. Wystarczy, że uruchomiona zostanie odpowiednio spreparowana aplikacja.

Co to oznacza? Że kiedy użytkownik pobierze szkodliwe oprogramowanie ze Sklepu Play, nie będzie nawet musiał nadawać mu żadnych uprawnień. Napastnik i tak uzyska niczym nieskrępowany dostęp do wszystkich zasobów urządzenia, w tym przechowywanych danych. Szkodliwość luki oceniono na 7.8 pkt. w 10-stopniowej skali, czyli całkiem wysoko.

Co ciekawe, jak twierdzi Ars Christoph Hebeisen, dyrektor wywiadu bezpieczeństwa w firmie Lookout, niniejsza luka jest bardzo podobna do luki odnalezionej w 2016 roku w Linuksie, nazwanej Dirty Cow. Przypomnijmy, tamten błąd polegał na możliwości zapisu do pamięci w obszarach, do których regularny użytkownik nie powinien mieć dostępu. To właśnie lukę Dirty Cow wykorzystywano swego czasu do rootowania urządzeń z Androidem, a co za tym idzie spodobała się także włamywaczom.

Tyle że Dirty Cow rezydowała w podstawowej funkcji zarządzania pamięcią, a błąd wykryty przez Trend Micro jest związany z podsystemem wideo. To z kolei sprawia, że jest nieco mniej groźny. Może być użyty tylko w tych aplikacjach, które mają dostęp do kamery. Zauważalnie maleje elastyczność.

– Ta luka jest podobna do Dirty Cow, ponieważ znajduje się w rdzeniu kodu jądra, więc miałaby zastosowanie do wszystkich urządzeń z Androidem – powiedział Ars Christoph Hebeisen, cytowany przez Ars Technica. – Jednak exploit oparty na tej podatności nie byłby tak elegancki jak DirtyCow i prawdopodobnie nie byłby tak niezawodny – dodał ekspert.

Zespół Zero Day Initiative twierdzi, że poinformowali Google o luce w połowie marca. Firma z Mountain View ponoć potwierdziła chęć naprawienia usterki, po czym jednak zmieniła zdanie, informując naukowców o braku prac nad aktualizacją. We wrześniowym biuletynie bezpieczeństwa Androida nie ma ani słowa o usunięciu opisywanej podatności.

Dyrektor Brian Gorenc podsumował, że użytkownicy Androida powinni ograniczyć instalowane aplikacje i upewnić się, że pochodzą z zaufanego źródła. Nadmienił też, że zweryfikowano, iż błąd dotyczy najnowszych wersji systemu Google'a. Oczywiście ostrożność w kwestii androidowych apek to nic nowego, ale ten akurat temat warto powtarzać do znudzenia.