Эксперты обнаружили новый метод эксплуатации уязвимости Dirty COW

Эксперты обнаружили новый метод эксплуатации уязвимости Dirty COW

Атака позволяет внедрить вредоносный код непосредственно в процессы и получить контроль над Android-устройством.

В октябре нынешнего года стало известно о серьезной уязвимости в ядре Linux, позволяющей локальному пользователю повысить привилегии на системе и модифицировать любой файл, который он может прочитать. Как выяснилось позже, проблема затрагивала не только все версии Linux, начиная с 3.6, но и все версии ОС Android.

Эксплуатация уязвимости в Android представляет некоторую сложность, поскольку требует наличия определенных условий, однако исследователи Trend Micro обнаружили новый метод атаки, позволяющий внедрить вредоносный код непосредственно в процессы и получить значительный контроль над уязвимым устройством.

В качестве доказательства исследователи опубликовали видео с демонстрацией работы эксплоита. Специалисты разработали вредоносное приложение, которое без всяких разрешений установили на смартфон под управлением самой актуальной на момент проведения исследования исправленной версии Android. Эксплуатация уязвимости Dirty COW позволяет получить доступ к информации на устройстве, изменить настройки (в данном случае эксперты смогли узнать местоположение смартфона, активировать Bluetooth и Wi-Fi), а также незаметно загрузить приложение даже в том случае, если установлен запрет на загрузку программ из сторонних источников (за исключением Google Play).

Как пояснили исследователи, при исполнении ELF-файла ядро Linux отображает его в память. Данное отображение будет использоваться при повторном открытии того же файла. При эксплуатации Dirty COW для модификации уже запущенного ELF-файла, изменяется и образ работающего процесса. Уязвимость можно использовать для модификации любого процесса, доступного для чтения. В Android работает тот же принцип. То есть процесс Android Runtime (ART) может быть модифицирован аналогичным образом. Таким образом, злоумышленник может внедрить вредоносный код и управлять контекстом любого процесса.

Компания Google уже проинформирована о проблеме.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.