یک آسیبپذیری روز-صفرم بحرانی وصلهنشده در سیستم عامل پرکاربرد تلفن همراه، اندروید، کشف شده است که توسط شرکت نظارتی رژیم صهیونیستی به نام NSO Group یا یکی از مشتریان آن مورد بهرهبرداری قرار گرفته است تا به دستگاه اندرویدی هدف خود دست یابند. جزئیات و بهرهبرداری اثبات مفهومی این آسیبپذیری امنیتی با شدت بالا که توسط پژوهشگر پروژهی صفر، Madddie Stone کشف شده است و با شناسهی CVE-2019-2215 ردیابی میشود، در ۴ سپتامبر و تنها هفت روز پس از گزارش آن به گروه امنیتی اندروید بهطور عمومی افشا شد.
این آسیبپذیری روز-صفرم یک آسیبپذیری استفاده پس از آزادسازی در درایور بایندر کرنل اندروید است که به یک مهاجم ممتاز محلی یا یک برنامه اجازه میدهد تا امتیازات خود را برای دستیابی به دسترسی روت به یک دستگاه آسیبپذیر افزایش دهد و بهطور بالقوه کنترل کامل از راه دور دستگاه را به دست گیرد. این آسیبپذیری در نسخههای کرنل اندروید منتشرشده قبل از ماه آوریل سال گذشته وجود دارد که وصلهی مربوط به آن در کرنل لینوکس ۴٫۱۴ LTS منتشرشده در ماه دسامبر سال ۲۰۱۷ میلادی تعبیه شده است، اما تنها در نسخههای ۳٫۱۸، ۴٫۴ و ۴٫۹ کرنل اندروید AOSP گنجانده شده است.
بنابراین بیشتر دستگاههای اندرویدی تولیدشده و فروختهشده با کرنل وصلهنشده توسط اکثر شرکتها همچنان در برابر این آسیبپذیری آسیبپذیر است حتی با داشتن آخرین بهروزرسانیهای اندرویدی ازجمله مدلهای گوشیهای هوشمند محبوب Pixel 1، Pixel 1 XL، Pixel 2، Pixel 2 XL، Huawei P20، Xiami Redmi 5A، Xiami Redmi Note ۵، Xiami A1، Oppo A3، Moto Z3، Oreo LG phones، Samsung S7، Samsung S8، Samsung S9.
لازم به ذکر است که دستگاههای Pixel 3، ۳ XL و ۳a که آخرین کرنلهای اندرویدی را اجرا میکنند در برابر این مسأله آسیبپذیر نیستند. به گفتهی این پژوهشگر، از انجا که این آسیبپذیری از جعبهی شنی کروم قابل دسترسی است، ممکن است آسیبپذیری روز-صفرم کرنل اندروید بهصورت از راه دور و در ترکیب با یک آسیبپذیری مجزا در کروم مورد بهرهبرداری قرار گیرد.
Stone بیان میکند این اشکال یک آسیبپذیری ارتقاء امتیاز محلی است که دستگاه آسیبپذیر را بهطور کامل در معرض خطر قرار میدهد. وی یک اثبات مفهومی بهرهبرداری محلی پیوست کرده است تا نشان دهد که چگونه این اشکال برای به دست آوردن دسترسی خواندن و نوشتن دلخواه کرنل هنگام اجرا بهصورت محلی مورد استفاده قرار میگیرد.
برای بهرهبرداری از آسیب پذیری CVE-2019-2215 تنها باید کد برنامهی غیرقابل اطمینان اجرا شود. همچنین یک اسکرینشات از POC در حال اجرا در Pixel 2 پیوست کرده که اندروید ۱۰ با وصلهی امنیتی را اجرا میکند. اگرچه گوگل در بولتن امنیتی اندروید ماه اکتبر خود برای این آسیبپذیری یک وصله منتشر خواهد کرد، بسیاری از دستگاههای آسیبدیده برخلاف Pixel 1 و Pixel 2 بلافاصله این وصله را دریافت نخواهند کرد.
گروه امنیتی اندروید در بیانیهای اظهار داشت که این آسیبپذیری بهعنوان یک آسیبپذیری با شدت بالا در اندروید ارزیابی شده است و به خودی خود برای بهرهبرداری نیاز به نصب یک برنامهی مخرب دارد. هر عامل دیگری ازجمله مرورگر وب لازم است که با یک بهرهبرداری دیگری ترکیب شود.
این گروه همچنین بیان کرد که به شرکای اندرویدی اطلاع داده است و وصلهی آن در کرنل مشترک اندروید در دسترس است. دستگاههای Pixel 3 و ۳a آسیبپذیر نیستند، درحالیکه دستگاههای Pixel 1 و Pixel 2 بهروزرسانیهای مربوط به این آسیبپذیری را بهعنوان بخشی از بهروزرسانی ماه اکتبر دریافت خواهند کرد. پروژهی صفر گوگل معمولاً به توسعهدهندگان نرمافزاری یک مهلت ۹۰ روزه میدهد تا این آسیبپذیری را قبل از افشای عمومی آن به همراه جزئیات و بهرهبرداریهای اثبات مفهومی، در محصولات آسیبدیدهی خود رفع کنند، اما در مورد بهرهبرداریهای فعال، این گروه پس از گذشت ۷ روز بعد از گزارش خصوصی آن، افشای عمومی را آغاز کردند.
اگرچه این آسیبپذیری شدید است و ممکن است برای دستیابی به دسترسی روت به یک دستگاه اندرویدی مورد استفاده قرار گیرد، کاربران نباید زیاد نگران باشند، زیرا بهرهبرداری از چنین مسائلی به سناریوهای حملهی هدفدار محدود میشود. بااینوجود، همیشه به کاربران توصیه میشود که از دانلود و نصب برنامهها از فروشگاههای برنامهی شخص ثالث و هر برنامهی غیرضروری دیگر حتی از فروشگاه گوگل پلی خودداری کنند.