TI INSIDE Online -

RSS Feed Compartilhe TI INSIDE Online no Facebook Compartilhe TI INSIDE Online no Twitter Compartilhe TI INSIDE Online no Google+ Compartilhe TI INSIDE Online no Linkedin

Trend Micro identifica vulnerabilidades no Android instaladas por app malicioso

Postado em: 15/03/2016, às 21:06 por Redação

 

A Trend Micro recentemente mapeou uma nova vulnerabilidade que afeta dispositivos Android alimentados pelo Qualcomm Snapdragon SoCs (sistemas em um chip) que atualmente alimenta mais de um bilhão de dispositivos inteligentes em uso.

Muitos desses aparelhos poderiam ser explorados por um atacante, a fim de obter acesso ao root no dispositivo de destino por meio de uma simples execução de um aplicativo malicioso. Ganhar acesso ao root faz com que o invasor acesse vários recursos aos quais não teria acesso em circunstâncias normais.

Essas vulnerabilidades foram reportadas ao Google pela Trend Micro e corrigidas, de forma a permitir que a brecha fosse corrigida e distribuída ao público. No entanto, dada a natureza fragmentada da correção da vulnerabilidade e Internet das Coisas, muitos usuários não conseguirão receber a atualização de segurança necessária e poderão continuar em risco de exposição das informações.

Como o número de SoCs (system on a chip) embarcados em dispositivos explodiram com o crescimento da Internet das Coisas, nós prevemos que estes tipos de vulnerabilidades vão se tornar um problema ainda maior, o que vai desafiar o modo em lidar com relação à segurança da Internet das Coisas.

CVE-2016-0819

A Trend Micro descobriu esta vulnerabilidade em particular, que é descrita como um erro de lógica quando um objeto dentro do kernel (espécie de cérebro do computador, que faz a interação entre o hardware e software) é liberado. Um node é eliminado duas vezes antes de ser liberado e isso gera um vazamento de informações e um problema de Uso Após a Liberação (Use After Free – UFA) no Android.

Problemas de UAF são bem conhecidos por estarem no coração de exploits, particularmente no Internet Explorer.

CVE-2016-0805

Esta vulnerabilidade em particular encontra-se na função get_krait_evtinfo. (Krait refere-se ao núcleo do processador usado pelos processadores Snapdragon). A função retorna um índice para uma matriz; no entanto, a validação dos inputs desta função não é suficiente. Como resultado, quando a matriz krait_functions é acessada pelas funções krait_clearpmu e krait_evt_setup, resulta em um acesso fora dos limites. Isso pode ser útil como parte de um ataque múltiplo de exploits.

Ganhando acesso ao root

Usando esses dois exploits, pode-se obter acesso ao root em um dispositivo Android alimentado pela Snapdragon. Isto pode ser feito por meio de um aplicativo malicioso no dispositivo. Para evitar novos ataques que podem visar as vulnerabilidades corrigidas ou similares que ainda não foram descobertas, a Trend Micro não está divulgando os detalhes deste ataque.

Que dispositivos são vulneráveis?

A chamada do sistema perf_event_open (que é usado neste ataque) é aberto na maioria dos smartphones. No entanto, os fornecedores podem fortemente personalizar o kernel e as políticas do SELinux de seus dispositivos, o que torna difícil identificar quais dispositivos são vulneráveis.

Segundo o February security bulletin do Google, o CVE-2016-0805 afeta versões anteriores à 4.4.4 até a 6.0.1. A Trend Micro não pôde testar todos os dispositivos Android, mas o teste feito, indica que os seguintes dispositivos podem ser afetados:

  • Nexus 5
  • Nexus 6
  • Nexus 6P
  • Samsung Galaxy Note Edge

A Trend Micro acredita que qualquer dispositivo Android alimentado pela Snapdragon com um kernel 3.10 é versão potencialmente em risco deste ataque. Uma vez que muitos destes dispositivos não são mais corrigidos ou nunca receberam quaisquer correções, essencialmente eles estão em risco se não houver nenhum patch no futuro.

Este ataque permite que um atacante aumente os privilégios de qualquer código executado em um dispositivo visado. No entanto, este cenário ainda precisa que o atacante consiga inserir seu código malicioso no dispositivo em primeiro lugar. Os usuários devem ter muito cuidado ao instalar aplicativos de fontes não confiáveis, especialmente aqueles que estão fora da Play Store.

É aconselhável que os usuários do Android verifiquem com os fabricantes de seus dispositivos, se uma atualização está disponível para corrigir essas falhas.

Tags: , , , , , , , ,

0 Comentários

Deixe o seu comentário!

Nome (obrigatório)

E-mail (não será mostrado) (obrigatório)

Website

Mensagem (obrigatório)



Top