Zephyrnet-logo

Maandelijkse Android-updates zijn uit - kritieke bugs gevonden op kritieke plaatsen!

Datum:

Google's mei 2022-updates voor Android zijn uit.

Zoals gebruikelijk ontving de kern van Android twee verschillende patchversies.

De eerste is nagesynchroniseerd 2022-05-01, en bevat oplossingen voor 13 CVE-genummerde kwetsbaarheden.

Gelukkig worden deze momenteel niet uitgebuit, wat betekent dat er deze maand geen zero-day holes bekend zijn; geen van hen leidt rechtstreeks tot uitvoering van externe code (RCE); en geen van hen is gemarkeerd als kritisch.

Desalniettemin zou ten minste één van deze kwetsbaarheden een geheel onschuldig ogende app (een die helemaal geen speciale privileges nodig heeft wanneer je hem installeert) in staat kunnen stellen om toegang op rootniveau te krijgen.

Als u zich afvraagt ​​waarom we u geen specifieke CVE-nummers geven voor de ernstigste kwetsbaarheden, komt dat omdat Google zelf niet beschrijft welke kwetsbaarheden welke risico's met zich meebrengen, maar in plaats daarvan alleen de mogelijke bijwerkingen van “de meest ernstige kwetsbaarheid” in elke groep bugs.

De tweede tranche van updates wordt nagesynchroniseerd 2022-05-05, een officiële identificatie die alle patches dekt die worden geleverd door 2022-05-01, plus nog 23 CVE-genummerde bugs in tal van delen van het besturingssysteem.

Componenten die door deze bugs worden getroffen, zijn onder meer de Android-kernel zelf, samen met verschillende closed-source softwaremodules die door hardwaremakers MediaTek en Qualcomm aan Google worden geleverd.

Niet-verenigde patches

Idealiter zou Google de maandelijkse updates niet op deze manier opsplitsen, maar een enkele, uniforme set patches bieden en verwachten dat alle leveranciers van Android-apparaten zo snel mogelijk up-to-date zijn.

Zoals het bedrijf echter in zijn bulletins toegeeft, zijn er: "twee beveiligingspatchniveaus, zodat Android-partners de flexibiliteit hebben om een ​​subset van kwetsbaarheden die op alle Android-apparaten vergelijkbaar zijn, sneller op te lossen."

We kunnen de benadering van Google begrijpen, die vermoedelijk de veronderstelling weerspiegelt dat het beter is als iedereen op zijn minst iets repareert en sommige leveranciers alles repareren...

…dan als sommige leveranciers alles repareren en anderen helemaal niets.

Niettemin merkt Google publiekelijk op dat: "Android-partners worden aangemoedigd om alle problemen in dit bulletin op te lossen en het nieuwste niveau van beveiligingspatches te gebruiken."

In de moderne volkstaal is onze mening over deze kwestie eenvoudig en duidelijk: +1.

De angel in de hardware

Hoewel er een open-source distributie van Android bekend is, AOSP (kort voor Android Open Source Project), bevat de Android-distributie die u nu op uw telefoon of tablet gebruikt vrijwel zeker tal van closed-source componenten.

Google Android, bijvoorbeeld, lijkt een beetje op Apple's iOS omdat het gebaseerd is op een open-source kernel en een overvloed aan open source-tools op laag niveau, maar met verschillende eigen modules, applicatie-programmeerinterfaces en apps die daarbovenop gelaagd zijn.

Maar zelfs Android-versies van derden bevatten meestal tal van closed-source softwaremodules, bijvoorbeeld om de low-level hardware in het apparaat te bedienen, zoals de radio van de mobiele telefoon (waarvoor in de meeste landen de code strikt en op verschillende manieren wordt gereguleerd), Wi -Fi, Bluetooth enzovoort.

Helaas deze maand 2022-05-05 patches bevatten een fix genaamd CVE-2021-35090 die wordt aangegeven kritisch, maar waarover geen openbare informatie beschikbaar is.

Google zegt niet meer dat deze bug, plus nog eens tien CVE-bugs uit het 2021-tijdperk, zijn "kwetsbaarheden [die] van invloed zijn op Qualcomm closed-source componenten."

Zelfs Google, zo lijkt het, weet niet wat er is opgelost in de binaire "blobs" van Qualcomm, of als dat zo is, zegt het niet.

We gaan er daarom van uit dat elke bug als kritisch omvat een soort uitvoering van externe code (RCE), en kan er daarom toe leiden dat een externe aanvaller spyware of andere malware op uw apparaat sluipt zonder enige vorm van tik-of-klik-hulp van uw kant.

bobbel, als je je afvraagt, is een jargonwoord van BLOB, een komisch acroniem voor Binair groot object, een naam die bedoeld is om je eraan te herinneren dat hoewel je het nodig hebt en het gebruikt, je waarschijnlijk nooit helemaal zeker zult zijn hoe het werkt, hoe het is gestructureerd of zelfs waar het eigenlijk voor is.

Aanvullende details voor Pixel-gebruikers

Eigenaren die niet alleen Google Android hebben maar ook Google-hardware gebruiken (Pixel 3a en hoger) hebben al Pixel-specifieke updates beschikbaar, inclusief patches voor 11 extra CVE-genummerde bugs, waarvan er twee worden beschouwd kritisch.

Ironisch genoeg bevinden de twee kritieke Pixel-bugs zich als volgt in kritieke componenten op laag niveau:

  • CVE-2022-20120. Externe code-uitvoering (RCE) in de bootloader. De bootloader is een essentieel onderdeel van de Android-systeemintegriteit en is standaard vergrendeld tegen elke vorm van wijziging. U kunt de bootloader op Pixel-apparaten ontgrendelen om een ​​alternatief, niet-Google-besturingssysteem te installeren, maar elke keer dat u de bootloader ontgrendelt (of opnieuw vergrendelt), worden alle gebruikersgegevens met geweld van het apparaat gewist in een zogenaamde fabrieksinstellingen. Dit voorkomt dat iemand die uw telefoon steelt het onderliggende besturingssysteem verwisselt voor een Trojaanse versie en het apparaat vervolgens schijnbaar ongewijzigd aan u teruggeeft met al uw originele apps en gegevens op hun plaats. Een RCE-bug in de bootloader suggereert dat een vastberaden aanvaller stilletjes en onzichtbaar een niet-gepatcht apparaat zou kunnen compromitteren, met een paar minuten fysieke toegang en een USB-kabel.
  • CVE-2022-20117. Openbaarmaking van informatie in de Titan-M-component. De Titan-M-chip is de hardware-beveiligingsmodule van Google, die fraudebestendige veilige opslag van cryptografische sleutels en andere geheime gegevens moet bieden. Pogingen om de chip uit een apparaat te halen en vervolgens onbewerkte gegevens van de chip zelf te extraheren, wordt verondersteld onmogelijk te zijn, omdat de chip zichzelf vernietigt of leegmaakt als deze op niet-officiële manieren wordt gebruikt. Een bug voor het vrijgeven van informatie in een hardwarebeveiligingsmodule is daarom altijd een kritieke kwestie, omdat de module specifiek is ontworpen om geheimen te bewaren.

Wat te doen?

Een bootloader-bug, een datalek in een speciale beveiligingschip, een fout waardoor de meest onschuldig ogende app schurkenstaten kan worden, en een kritieke kwetsbaarheid in een niet nader genoemd onderdeel dat wordt gebruikt in een onbekende reeks Android-apparaten betekent...

... patch vroeg, patch vaak. (En ja, dat zeggen we altijd, daarom zeiden we het hier!)

Op de meeste Google-apparaten, waaronder veel, zo niet de meeste niet-Google Android-varianten (we gebruiken GrapheneOS), kunt u controleren op updates en deze op aanvraag ophalen door naar Systeem > Systeem update > Controleren op updates.

Om de exacte details van uw huidige Android-kernel, versienummer en beveiligingspatchniveau te vinden, gaat u naar Systeem > Over de telefoon > Android-versie.

Idealiter ben je op zoek naar de 5 May 2022 beveiligingsupdate (dit komt overeen met de allesomvattende 2022-05-05 patchniveau hierboven), en een kernel met een builddatum van begin mei 2022, zoals hieronder te zien is.



spot_img

Laatste intelligentie

spot_img