.jpg)
En az yedi Android orijinal ekipman üreticisini (OEM) etkileyen yerel ayrıcalık yükseltme kusuruna yönelik bir kavram kanıtlama (PoC) istismarı artık GitHub’da halka açık. Bununla birlikte, istismar yerel erişim gerektirdiğinden, yayınlanması çoğunlukla araştırmacılara yardımcı olacaktır.
CVE-2023-45779 olarak takip edilen kusur, Eylül 2023’ün başlarında Meta’nın Red Team X’i tarafından keşfedildi ve bir saldırganın onu fark edip istismar etmek için kullanabileceği ayrıntılar açıklanmadan Android’in Aralık 2023 güvenlik güncellemesinde giderildi.
Güvenlik açığı, APEX modüllerinin test anahtarları kullanılarak güvenli olmayan şekilde imzalanması nedeniyle ortaya çıkıyor ve saldırganların platform bileşenlerine kötü amaçlı güncellemeler göndermesine olanak tanıyarak yerel ayrıcalıkların yükselmesine yol açıyor.
Güvenlik açığı uzaktan doğrudan yararlanılamasa da, Google’ın Uyumluluk Test Paketi (CTS) ve Android Açık Kaynak Projesi (AOSP) belgelerindeki zayıflıkları vurgulamaktadır. ele almayı planlıyor yaklaşan Android 15 sürümünde.
Android güvenlik düzeltme eki düzeyi 2023-12-05’i alan cihazlar, CVE-2023-45779’a karşı güvence altına alınmıştır.
Güvenli olmayan APEX imzalama
Meta’dan Tom Hebb, sorunun APEX modüllerinin AOSP’den kamuya açık test anahtarları kullanılarak imzalanmasından kaynaklandığını açıklayan bir yazı yayınladı.
APEX modülleri, OEM’lerin tam kablosuz (OTA) güncelleme yayınlamadan belirli sistem bileşenlerine yönelik güncellemeleri göndermesine olanak tanır, böylece güncelleme paketlerinin daha yalın ve test edilmesi ve son kullanıcılara sunulması daha kolay hale gelir.
Bu modüller, yalnızca OEM tarafından bilinen ve oluşturma işlemi sırasında oluşturulan özel bir anahtarla imzalanmalıdır. Ancak Android kaynak kodu oluşturma ağacında bulunan ortak anahtarın kullanılması, herkesin kritik sistem bileşeni güncellemelerini taklit edebileceği anlamına gelir.
Bu tür güncellemeler, saldırganlara cihazda yükseltilmiş ayrıcalıklar vererek mevcut güvenlik mekanizmalarını atlayabilir ve tam güvenlik ihlaline neden olabilir.
CVE-2023-45779, ASUS (Zenfone 9’da test edilmiştir), Microsoft (Surface Duo 2), Nokia (G50), Nothing (Phone 2), VIVO (X90 Pro), Lenovo (Tab M10 Plus) ve Lenovo (Tab M10 Plus) dahil olmak üzere birçok OEM’i etkilemektedir. Fairphone (5).
Yukarıdaki modeller yalnızca test kapsamıyla ilgilidir; dolayısıyla bu yedi OEM’in hepsi olmasa da birden fazla modeli muhtemelen CVE-2023-45779’a karşı savunmasızdır. Fairphone’un konuyla ilgili bülteni de bunu doğruluyor.
Hebb, birçok OEM’in güvenlik sorununu gözden kaçırmasının nedeninin, AOSP’deki güvenli olmayan varsayılan ayarlar, yetersiz dokümantasyon ve APEX imzalarında test anahtarlarının kullanımını tespit edemeyen CTS’nin yetersiz kapsamı dahil olmak üzere çok yönlü olduğunu söylüyor.
Cihaz modelleri Meta analistleri tarafından test edilen ve özel anahtar kullanımı sayesinde CVE-2023-45779’a karşı savunmasız olmadığı doğrulanan OEM’ler şunlardır: Google (Pixel), Samsung (Galaxy S23), Xiaomi (Redmi Note 12), OPPO (Find X6) Pro), Sony (Xperia 1 V), Motorola (Razr 40 Ultra) ve OnePlus (10T).
Kullanım mevcut
Araştırmacılar GitHub’da CVE-2023-45779’a yönelik bir istismar yayınladı ve yaygın olarak kullanılabilir hale getirdi ancak bu, henüz bir düzeltme almayan kullanıcıların özellikle endişelenmesi gerektiği anlamına gelmiyor.
Tipik olarak kusur, hedef cihaza fiziksel erişim ve bundan yararlanmak için “adb kabuğu” kullanma konusunda biraz uzmanlık gerektirir; dolayısıyla PoC öncelikle araştırma ve hafifletme doğrulaması için tasarlanmıştır.
Bununla birlikte, birçok kez gördüğümüz gibi, halihazırda güvenliği ihlal edilmiş bir cihazdaki ayrıcalıkları yükseltmek için istismar zincirinin bir parçası olarak istismarın kullanılması olasılığı her zaman vardır.
Android cihazınız Android güvenlik yaması düzeyi 2023-12-05’ten daha eski bir sürüm çalıştırıyorsa aktif olarak desteklenen bir dağıtıma geçmeyi veya daha yeni bir modele yükseltme yapmayı düşünün.