제퍼넷 로고

Android 월간 업데이트가 출시되었습니다. 중요한 위치에서 중요한 버그가 발견되었습니다!

시간

Android용 Google의 2022년 XNUMX월 업데이트 밖으로.

평소와 같이 Android의 핵심은 두 가지 다른 패치 버전을 받았습니다.

첫 번째는 더빙 2022-05-01, 13개의 CVE 번호 취약점에 대한 수정 사항이 포함되어 있습니다.

다행히도 이들 중 어느 것도 현재 악용되고 있지 않습니다. 즉, 이번 달에 알려진 제로 데이 구멍이 없습니다. 그들 중 어느 것도 원격 코드 실행(RCE)으로 직접 연결되지 않습니다. 그리고 그들 중 누구도 다음으로 플래그가 지정되지 않았습니다. 결정적인.

그럼에도 불구하고 이러한 취약점 중 적어도 하나는 완전히 순진해 보이는 앱(설치할 때 특별한 권한이 전혀 필요하지 않은 앱)이 루트 수준 액세스에 도달하도록 허용할 수 있습니다.

가장 심각한 취약점에 대해 특정 CVE 번호를 제공하지 않는 이유가 궁금하다면 Google 자체에서 어떤 취약점이 어떤 위험을 초래하는지 자세히 설명하지 않고 대신 잠재적인 부작용만 설명하기 때문입니다. "가장 심각한 취약점" 각 버그 그룹에서.

업데이트의 두 번째 트랜치는 더빙됩니다. 2022-05-05, 에서 제공하는 모든 패치를 포함하는 공식 식별자 2022-05-01, 운영 체제의 여러 부분에 23개 이상의 CVE 번호 버그가 있습니다.

이러한 버그의 영향을 받는 구성 요소에는 하드웨어 제조업체인 MediaTek 및 Qualcomm에서 Google에 제공하는 다양한 폐쇄 소스 소프트웨어 모듈과 함께 Android 커널 자체가 포함됩니다.

통합되지 않은 패치

이상적으로, Google은 이러한 방식으로 월별 업데이트를 분리하지 않고 단일 통합 패치 세트를 제공하고 Android 기기의 모든 공급업체가 가능한 한 빨리 최신 정보를 받을 것으로 기대합니다.

그러나 회사가 게시판에서 인정하는 것처럼 "Android 파트너가 모든 Android 기기에서 유사한 취약점의 하위 집합을 보다 빠르게 수정할 수 있도록 XNUMX가지 보안 패치 수준을 제공합니다."

우리는 모두가 최소한 무언가를 수정하고 일부 공급업체는 모든 것을 수정하는 것이 더 낫다는 가정을 반영하는 Google의 접근 방식을 이해할 수 있습니다.

… 일부 공급업체는 모든 것을 수정하지만 다른 공급업체는 전혀 수정하지 않는 경우보다.

그럼에도 불구하고 Google은 다음과 같이 공개적으로 언급합니다. "Android 파트너는 이 게시판의 모든 문제를 수정하고 최신 보안 패치 수준을 사용하는 것이 좋습니다."

현대 언어로 이 문제에 대한 우리의 의견은 간단하고 명확합니다. +1.

하드웨어의 찌르기

알려진 Android의 오픈 소스 배포가 있지만 AOSP ( 안드로이드 오픈 소스 프로젝트), 현재 휴대전화나 태블릿에서 실행 중인 Android 배포에는 수많은 비공개 소스 구성 요소가 포함되어 있음이 거의 확실합니다.

예를 들어 Google Android는 오픈 소스 커널과 과다한 저수준 오픈 소스 도구를 기반으로 한다는 점에서 Apple의 iOS와 약간 비슷하지만 그 위에 다양한 독점 모듈, 애플리케이션 프로그래밍 인터페이스 및 앱이 계층화되어 있습니다.

그러나 타사 Android 버전에도 일반적으로 수많은 폐쇄 소스 소프트웨어 모듈이 포함되어 있습니다. 예를 들어 휴대폰 라디오(대부분의 국가에서 엄격하고 다양하게 규제되는 코드), Wi -Fi, 블루투스 등.

아쉽게도 이번 달 2022-05-05 패치에는 CVE-2021-35090이라는 수정 사항이 포함되어 있습니다. 결정적인, 그러나 이에 대한 공개 정보는 없습니다.

Google은 더 이상 이 버그와 2021개의 XNUMX년 CVE 버그가 더 이상 "Qualcomm 비공개 소스 구성 요소에 영향을 미치는 [취약점]."

Google조차도 Qualcomm의 바이너리 "블롭"에서 무엇이 수정되었는지 알지 못하는 것 같습니다. 수정된 경우에도 말하지 않습니다.

따라서 우리는 모든 버그가 결정적인 일종의 원격 코드 실행(RCE)이 포함되므로 원격 공격자가 사용자의 탭 또는 클릭 지원 없이 장치에 스파이웨어 또는 기타 맬웨어를 몰래 침투시킬 수 있습니다.

얼룩, 궁금한 점이 있으면 의 전문 용어입니다. 얼룩, 코미디 약어 바이너리 대형 객체, 당신이 그것을 필요로 하고 그것을 사용하더라도 그것이 어떻게 작동하는지, 어떻게 구성되어 있는지, 심지어 그것이 실제로 무엇을 위한 것인지 결코 확신할 수 없다는 것을 상기시키기 위한 이름입니다.

Pixel 사용자를 위한 추가 세부정보

Google Android뿐만 아니라 Google 하드웨어(Pixel 3a 이상)도 사용하는 소유자는 이미 픽셀별 업데이트 11개의 추가 CVE 번호 버그에 대한 패치를 포함하여 사용 가능하며, 그 중 XNUMX개는 결정적인.

아이러니하게도 두 가지 중요한 Pixel 버그는 다음과 같이 중요한 하위 수준 구성 요소에 있습니다.

  • CVE-2022-20120. 부트로더의 원격 코드 실행(RCE). 부트로더는 Android 시스템 무결성의 중요한 부분이며 기본적으로 모든 종류의 수정에 대해 잠겨 있습니다. Pixel 기기에서 부트로더를 잠금 해제하여 Google이 아닌 다른 운영 체제를 설치할 수 있지만 부트로더를 잠금 해제(또는 다시 잠글) 때마다 소위 말하는 방식으로 기기에서 모든 사용자 데이터가 강제로 지워집니다. 공장 초기화. 이렇게 하면 휴대전화를 훔친 누군가가 기본 운영 체제를 트로이 목마 버전으로 교체한 다음 모든 원래 앱과 데이터가 그대로 유지된 상태로 분명히 수정되지 않은 상태로 기기를 반환하는 것을 방지할 수 있습니다. 부트로더 RCE 버그는 단호한 공격자가 몇 분의 물리적 액세스 및 USB 케이블이 주어지면 패치되지 않은 장치를 조용히, 보이지 않게 손상시킬 수 있음을 시사합니다.
  • CVE-2022-20117. Titan-M 구성 요소의 정보 공개. Titan-M 칩은 암호화 키 및 기타 비밀 데이터의 변조 방지 보안 저장을 제공하는 Google의 하드웨어 보안 모듈입니다. 장치에서 칩을 추출한 다음 칩 자체에서 원시 데이터를 추출하려고 시도하는 것은 불가능합니다. 왜냐하면 칩이 비공식적인 방식으로 액세스되면 칩이 스스로 파괴되거나 공백이 되기 때문입니다. 따라서 하드웨어 보안 모듈의 정보 공개 버그는 항상 중요한 문제입니다. 모듈이 비밀을 유지하도록 특별히 설계되었기 때문입니다.

무엇을해야 하는가?

부트로더 버그, 전용 보안 칩의 데이터 누출 구멍, 가장 순진해 보이는 앱이 도용될 수 있는 결함, 알려지지 않은 범위의 Android 기기에서 사용되는 공개되지 않은 구성 요소의 치명적인 취약점은…

... 일찍 패치하고 자주 패치하십시오. (그리고 예, 우리는 항상 그렇게 말하므로 여기에서 말한 것입니다!)

대부분의 Google이 아닌 Android 변형은 아니지만 대부분의 Google 기기에서(우리는 GrapheneOS를 사용하고 있음) 다음으로 이동하여 업데이트를 확인하고 필요할 때 가져올 수 있습니다. > 시스템 업데이트 > 업데이트 확인.

현재 Android 커널, 버전 번호 및 보안 패치 수준에 대한 정확한 세부 정보를 찾으려면 다음으로 이동하십시오. > 전화 정보 > Android 버전.

이상적으로는 5 May 2022 보안 업데이트(이것은 모든 것을 포괄하는 2022-05-05 패치 수준 위) 및 아래와 같이 빌드 날짜가 2022년 XNUMX월 초로 표시된 커널입니다.



spot_img

최신 인텔리전스

spot_img