9月4日,研究人员在网上公布了影响安卓移动操作系统的0 day漏洞。
该漏洞位于Video for Linux (V4L2)驱动文件中,该文件用于安卓操作系统处理输入数据。输入恶意输入后,攻击者可以利用V4L2驱动文件来从低权限用户提升到root权限。但为了利用该漏洞,攻击者首先要在目标系统上获得执行低权限代码的能力。虽然该0 day漏洞并不能用于打破用户的手机,但可以让攻击者在初始感染后完全控制用户手机设备。
很容易被武器化
该0 day漏洞的一个攻击场景是与其他恶意APP绑定在一起通过官方应用商店或第三方应用商店来进行分发和传播。用户安装了恶意APP后,0 day漏洞就可以授予恶意APP root权限,然后app可以进行任意操作,比如窃取用户数据,下载其他app等。这是权限提升漏洞在安卓设备中的常见利用场景。
因为该漏洞目前还没有分配CVE编号,因此可能有安全研究人员并没有意识到该0 day漏洞的重要性,但是权限提升漏洞很容易在安卓生态系统中武器化。比如,许多恶意APP就与Dirty Cow权限提升漏洞利用一起来在老版本的手机上获取root权限。
漏洞尚未修复
该漏洞早在2019年3月就提交给了谷歌,但6个月过去了,谷歌在2019年9月发布的谷歌安全公告中仍然不含该漏洞的补丁。目前,仍然没有预防恶意app利用该漏洞的解决方案。考虑到该漏洞的本质,唯一可行的方案是限制与该服务的交互。只有与该服务有合法关系的客户端和服务器才允许通信。