Vulnerabilidade de dia zero no Android pode comprometer totalmente esses telefones populares
O Google hoje está relatando publicamente uma nova vulnerabilidade de dia zero no Android que afeta potencialmente vários dispositivos.A vulnerabilidade é particularmente preocupante porque pode permitir que maus atores assumam o controle de um dispositivo afetado. Curiosamente, essa falha de segurança já foi corrigida uma vez, mas aparentemente ainda existe em versões mais recentes do Android.
Mais especificamente, o Google explica em seu rastreador de erros do Project Zero que essa falha foi corrigida na versão 4.14LTS, AOSP android 3.18, AOSP android 4.4 e AOSP android 4.9 em dezembro de 2017. No entanto, com base na revisão do código fonte, o Google diz que uma variedade decente de dispositivos executando o Android 8.x ou posterior ainda parece servulnerável. Confira a lista abaixo:
• Pixel 2 com pré-visualização do Android 9 e Android 10 • Huawei P20 • Xiaomi Redmi 5A • Xiaomi Redmi Note 5 • Xiaomi A1 • Oppo A3 • Moto Z3 • Telefones Oreo LG • SamsungS7, S8, S9
Enquanto o Pixel 2 está nessa lista, a equipe do Project Zero diz que os dispositivos Pixel 3 e 3a não são afetados.Há evidências de que essa exploração foi usada na natureza, o que levou o Google a atribuir um prazo de divulgação de sete dias (o bug foi relatado pela primeira vez ao Android em 26 de setembro). Além disso, a equipe de análise de ameaças do Google vinculou essa exploração a uma usada pelo grupo NSO.
O Android, por sua vez, emitiu uma declaração sobre a vulnerabilidade."Esse problema é classificado como alta gravidade no Android e requer, por si só, a instalação de um aplicativo mal-intencionado para possível exploração", explica o comunicado do fornecedor.“Quaisquer outros vetores, como o navegador da web, exigem encadeamento com uma exploração adicional. Notificamos os parceiros do Android e o patch está disponível no Android Common Kernel. Os dispositivos Pixel 3 e 3a não são vulneráveis, enquanto os dispositivos Pixel 1 e 2 receberão atualizações para esse problema como parte da atualização de outubro. ”
Portanto, uma correção para os dispositivos Pixel afetados está a caminho,embora a equipe do Project Zero não ofereça atualizações sobre o status de outros dispositivos nessa lista.O fato encorajador é que essa exploração requer a instalação de algum tipo de aplicativo mal-intencionado - ou de outra forma encontra uma cadeia de explorações por meio de um site - portanto, embora ainda esteja listado como "Alta severidade", parece que poderia ter sido pior. Vamos ver o que acontece daqui, fique atento.
Via: Slash Gear
Nenhum comentário