Google с опозданием на 3 месяца залатал «дыру» в Android, которую вовсю использовали хакеры
В рамках майского обновления Android выпущен патч к уязвимости, унаследованной ОС от Linux. Ошибка в ядре открытой ОС была выявлена экспертами самого Google, но почему-то ее устранение заняло у компании больше четырех месяцев. Баг уже эксплуатировали хакеры.
Наследство Linux
Google устранил критическую уязвимость в ядре Android, которой уже активно пользовались киберзлоумышленники. Исправления были внесены в рамках кумулятивного патча, выпущенного 5 мая 2022 г. Еще один патч для Android был выпущен всего четырьмя днями ранее.
Уязвимость CVE-2021-22600 — это баг в ядре Linux, на базе которого построена ОС Android, позволяющий повышать привилегии локального пользователя. Уязвимость, соответственно, затрагивала не только пользователей Android, но и системы на базе Linux и его деривативов.
Проблема была выявлена еще в январе 2022 г. Тогда же эксперты Google представили исправление и передали его поставщикам дистрибутивов Linux. Однако интеграция исправления в Android почему-то заняла несколько месяцев.
Это тем более удивительно с учетом активной эксплуатации уязвимости со стороны злоумышленников, о чем Агентство по защите цифровой инфраструктуры США (CISA) выпустило бюллетень в апреле 2022 г. В Google утверждают, что эксплуатация бага носила «ограниченный, узконаправленный характер».
«Вероятнее всего, эксплуатация уязвимости в Android началась уже после раскрытия информации для Linux со стороны Google, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Только этим можно объяснить вялое внимание к багу разработчика Android. К тому же уязвимость можно эксплуатировать только локально, то есть, держа в руках чужой или свой смартфон; такие баги не могут получать широкого распространения».
Повышение привилегий и другие неприятности
В публикации издания Bleeping Computer указывает, что точно неизвестно, каким именно образом уязвимость эксплуатируется, но вполне вероятно, что ее используют для выполнения команд, требующих повышенных прав в системе, что открывает возможности для перемещения по корпоративным сетям, в которых располагаются скомпрометированные системы.
В недавних версиях Android (10-12) реализованы более строгие механизмы выдачи разрешений приложениям, что затрудняет злоумышленникам внедрение вредоносов и получение ими доступа к системным функциям. Поэтому вполне вероятен повышенный интерес злоумышленников к повышению привилегий уже после внедрения вредоноса. Уязвимость также может использоваться для рутинга устройства, отмечает Bleeping Computer.
Среди прочих уязвимостей, которые устранены майскими патчами, — баги в Android Framework, позволяющих повышать привилегии и раскрывать данные; три уязвимости с повышением привилегий, два DoS-бага и две ошибки с раскрытием данных в системе Android; три уязвимости с повышением привилегий и одна — с раскрытием данных в ядре Android; три высокоопасных уязвимости в компонентах MediaTek и 15 высокоопасных и одна критическая уязвимость в компонентах Qualcomm.
Обновления касаются только версий Android, начиная с 10-й. Более ранние — не обновляются.