Varnostni raziskovalec in doktorski študent na univerzi Northwestern, Zhenpeng Lin, je odkril resno ranljivost, ki vpliva na jedro v androidnaprave, kot je serija Pixel 6 oz Galaxy S22. Natančne podrobnosti o delovanju te ranljivosti zaradi varnosti še niso bile objavljene, vendar raziskovalec trdi, da lahko dovoli poljubno branje in pisanje, stopnjevanje privilegijev in onemogoči zaščito varnostne funkcije Linux SELinux.
Fotogalerie
Zhenpeng Lin je na Twitterju objavil videoposnetek, ki naj bi pokazal, kako je ranljivost na Pixel 6 Pro lahko pridobila root in onemogočila SELinux. S takimi orodji bi lahko heker naredil veliko škode ogroženi napravi.
Najnovejši Google Pixel 6 je na voljo z 0 dnevi v jedru! Doseženo poljubno branje/pisanje za povečanje privilegijev in onemogočanje SELinux brez ugrabitve toka nadzora. Napaka vpliva tudi na Pixel 6 Pro, na druge Pixele to ne vpliva 🙂 pic.twitter.com/UsOI3ZbN3L
—Zhenpeng Lin (@Markak_) Julij 5, 2022
Glede na več podrobnosti, prikazanih v videoposnetku, lahko ta napad uporabi nekakšno zlorabo dostopa do pomnilnika za izvajanje zlonamerne dejavnosti, potencialno kot nedavno odkrita ranljivost Dirty Pipe, ki je prizadela Galaxy S22, Pixel 6 in drugi androidova, ki so bile predstavljene z jedrom Linux različice 5.8 Androidu 12. Lin je tudi dejal, da nova ranljivost vpliva na vse telefone z jedrom Linux različice 5.10, ki vključuje trenutno omenjeno vodilno serijo Samsung.
Lahko bi vas zanimalo
Google je lani izplačal 8,7 milijona dolarjev (približno 211,7 milijona CZK) nagrad za odkrivanje hroščev v svojem sistemu, trenutno pa ponuja do 250 dolarjev (približno 6,1 milijona CZK) za iskanje ranljivosti na ravni jedra, kar je očitno tako . Niti Google niti Samsung še nista komentirala zadeve, zato trenutno ni jasno, kdaj bi lahko prišlo do popravka novega izkoriščanja jedra Linuxa. Vendar pa je zaradi načina delovanja Googlovih varnostnih popravkov možno, da ustrezni popravek ne bo prispel do septembra. Tako nam ne preostane drugega, kot da čakamo.
