05/09/19
Компания Google выпустила обновления безопасности для своей мобильной ОС Android, но не включила в них патч как минимум для одной уязвимости, позволяющей повысить привилегии до уровня ядра. Как правило, злоумышленники эксплуатируют такие уязвимости для получения доступа к критически важным файлам на уже скомпрометированном устройстве.
Проблема затрагивает драйвер для интерфейса Video For Linux 2 (V4L2), используемого для видеозаписи. Уязвимость существует из-за того, что перед выполнением операций с объектом не проверяется его существование.
Уязвимость была обнаружена экспертами TrendMicro Research Лэнсом Цзяном и Муни Ли, сообщившим о ней в рамках программы Zero Day Initiative (ZDI). По шкале ZDI опасность уязвимости оценивается в 7,8 балла из 10. Идентификатор CVE пока отсутствует.
Для эксплуатации уязвимости требуются навыки и умение, поэтому для большинства «хакеров» она не является привлекательной. Тем не менее, мотивированные, умелые киберпреступники не преминут ею воспользоваться для сохранения персистентности на взломанном устройстве и получения полного контроля над ним.
Поскольку исправление для данной уязвимости пока отсутствует, обеспечение безопасности полностью ложится на плечи пользователей. Прежде всего, им нужно с осторожностью относиться ко всем загружаемым приложениям. Пользователям настоятельно рекомендуется загружать только хорошо известные приложения из Google Play и обходить стороной неофициальные магазины приложений.
