首页 > 互联网+ > 影响多个OEM的Android本地漏洞公布

影响多个OEM的Android本地漏洞公布

[2024-02-02 19:07:13] 编辑:财富小帮手 点击量:38
评论 点击收藏
导读:影响多家Android原始设备制造商(OEM)的本地特权提升缺陷的概念验证(PoC)漏洞现已在GitHub上公布。然而,由于该漏洞需要本地访问,因此其发布将主要对专业研究人员有所帮助。该漏洞的编号为CVE-2023-45779,由Meta的RedTeamX于2023年9月上旬发 .....

影响多家 Android 原始设备制造商 ( OEM ) 的本地特权提升缺陷的概念验证 ( PoC ) 漏洞现已在 GitHub 上公布。然而,由于该漏洞需要本地访问,因此其发布将主要对专业研究人员有所帮助。

该漏洞的编号为 CVE-2023-45779,由 Meta 的 Red Team X 于 2023 年 9 月上旬发现,并在 Android2023 年 12 月的安全更新中得到解决 ,但没有披露攻击者可用来识别和利用该漏洞的详细信息。

该漏洞的存在是由于使用测试密钥对 APEX 模块进行不安全签名,允许攻击者向平台组件推送恶意更新,从而导致本地权限提升。尽管该漏洞无法直接远程利用,但它凸显了兼容性测试套件 ( CTS ) 和 Android 开源项目 ( AOSP ) 文档中的弱点,Google 计划在即将发布的 Android 15 版本中解决这些弱点。

已收到 Android 安全补丁级别 2023-12-05 的设备将受到 CVE-2023-45779 的保护。

APEX 签名并不安全

有研究人员发表了一篇文章, 解释说问题在于使用 AOSP 公开的测试密钥签署 APEX 模块。

APEX 模块使 OEM 能够推送特定系统组件的更新,而无需发布完整的无线 ( OTA ) 更新,从而使更新包更精简、更易于测试并交付给最终用户。

这些模块应使用在构建过程中创建的只有 OEM 知道的私钥进行签名。然而,使用 Android 源代码构建树中的相同公钥,意味着任何人都可以伪造关键系统组件更新。此类更新可能会为攻击者提供更高的设备权限,从而绕过现有的安全机制并导致全面泄露。

CVE-2023-45779 影响许多 OEM,包括微软 ( Surface Duo 2 ) 、诺基亚 ( G50 ) 、Nothing ( Phone 2 ) 、费尔电话 ( 5 ) 等。

上述模型仅涉及测试覆盖范围,因此这些 OEM 的多个模型可能容易受到 CVE-2023-45779 的影响。

多家 OEM 未能发现安全问题的原因是多方面的,包括 AOSP 中不安全的默认设置、文档不足以及 CTS 覆盖范围不足,未能检测到 APEX 签名中测试密钥的使用。

其设备型号经 Meta 分析师测试并确认由于使用私钥而不会受到 CVE-2023-45779 影响的 OEM 厂商包括 Google ( Pixel ) 、三星 ( Galaxy S23 ) 、索尼、摩托罗拉和 OnePlus等。

可用的漏洞利用

研究人员在 GitHub 上发布了 CVE-2023-45779 的漏洞。

通常,该缺陷需要对目标设备进行物理访问,并需要一些使用 "adb shell" 来利用它的专业知识,因此 PoC 主要用于研究和缓解验证。然而,正如我们多次看到的那样,该漏洞始终有可能被用作漏洞链的一部分 ,以提升已受损设备上的权限。

如果您的 Android 设备运行的版本早于 Android 安全补丁级别 2023-12-05,请考虑切换到发行版或升级到较新的型号。

热门搜索:
网友评论
本文共有 0人参与评论
用户名:
密码:
验证码:  
匿名发表

投稿咨询