Недавние патчи от Google не исправляют опасную уязвимость в Android

Компания Google выпустила обновления безопасности для своей мобильной ОС Android, но не включила в них патч как минимум для одной уязвимости, позволяющей повысить привилегии до уровня ядра. Как правило, злоумышленники эксплуатируют такие уязвимости для получения доступа к критически важным файлам на уже скомпрометированном устройстве.

Проблема затрагивает драйвер для интерфейса Video For Linux 2 (V4L2), используемого для видеозаписи. Уязвимость существует из-за того, что перед выполнением операций с объектом не проверяется его существование.

Уязвимость была обнаружена экспертами TrendMicro Research Лэнсом Цзяном и Муни Ли, сообщившим о ней в рамках программы Zero Day Initiative (ZDI). По шкале ZDI опасность уязвимости оценивается в 7,8 балла из 10. Идентификатор CVE пока отсутствует.

Для эксплуатации уязвимости требуются навыки и умение, поэтому для большинства «хакеров» она не является привлекательной. Тем не менее, мотивированные, умелые киберпреступники не преминут ею воспользоваться для сохранения персистентности на взломанном устройстве и получения полного контроля над ним.

Поскольку исправление для данной уязвимости пока отсутствует, обеспечение безопасности полностью ложится на плечи пользователей. Прежде всего, им нужно с осторожностью относиться ко всем загружаемым приложениям. Пользователям настоятельно рекомендуется загружать только хорошо известные приложения из Google Play и обходить стороной неофициальные магазины приложений.