Zero-Day ευπάθεια βρέθηκε στο Android από...την Google

Η Project Zero ομάδα της Google αποτελείται από κορυφαίους ερευνητές ασφαλείας οι οποίοι ψάχνουν ευπάθειες και αδυναμίες σε εφαρμογές και συσκευές με σκοπό να μας κρατούν λίγο πιο ασφαλείς. Η ομάδα δημοσιεύει τα ευρήματά της στο κοινό για χάρη διαφάνειας, πολλοί θα περίμεναν όμως πως θα ήταν ίσως πιο επιεικείς απέναντι στους συναδέλφους τους στην Google. Κάτι τέτοιο δε συμβαίνει και η ομάδα έδωσε στη δημοσιότητα την ανακάλυψη ενός zero-day exploit στο Android, τηρώντας την ουδετερότητά τους.

Η ευπάθεια επηρεάζει αρκετές δημοφιλείς Android συσκευές όπως:

• Samsung Galaxy S7
• Samsung Galaxy S8
• Samsung Galaxy S9
• Huawei P20
• Xiaomi Redmi 5A
• Xiaomi Redmi Note 5
• Xiaomi A1
• Oppo A3
• Moto Z3
• Pixel 2
• LG τηλέφωνα με Android Oreo

Το παράξενο με τη συγκεκριμένη ευπάθεια είναι πως το bug είχε διορθωθεί το Δεκέμβριο του 2017, αλλά για κάποιο λόγο το fix δε συμπεριλήφθηκε σε νεότερες εκδόσεις του Android. Έτσι, το Android 8 και οι μεταγενέστερες ήταν ανοιχτά για το exploit. Το θετικό είναι πως δεν ήταν ευπάθεια την οποία μπορούσε να εκμεταλλευτεί κάποιος απομακρυσμένα (RCE) και χωρίς την αλληλεπίδραση του χρήστη.

Το θέμα κατηγοριοποιείται ως Σοβαρό στο Android και απαιτεί εγκατάσταση κακόβουλης εφαρμογής για την πιθανή εκμετάλλευσή του. Άλλα μέσα πρόσβασης, όπως ένας web browser, απαιτούν σύνδεση με επιπλέον ευπάθειες.  Έχουμε ενημερώσει τους Android συνεταίρους μας και το patch είναι διαθέσιμο στο Android Common Kernel. Τα Pixel 3 και 3a δεν είναι ευάλωτα ενώ τα Pixel 1 και 2 θα λάβουν updates για αυτό το θέμα ως μέρος της αναβάθμισης Οκτωβρίου. – Εκπρόσωπος Android Open Source Project