Googles Project Zero-onderzoeksteam heeft aanwijzingen dat exploits voor een nog niet gedicht lek in Android actief misbruikt worden. De exploits werken op minstens achttien verschillende Android-toestellen, die er volledig mee overgenomen kunnen worden.

Het gaat om een privilege escalation-kwetsbaarheid met de aanduiding CVE-2019-2215 waarmee bepaalde Android-apparaten volledig over te nemen zijn. Google beschouwt de kwetsbaarheid als zeer ernstig en voor misbruik is enkel de installatie van een kwaadaardige app vereist. Ars Technica heeft aanvullende informatie.

Besmetting via websites is alleen mogelijk in combinatie met een andere exploit, die zich dan moet richten op Chromes renderer process. Niet elk Android-apparaat is vatbaar voor misbruik. De oorsprong ligt bij een use after free-kwetsbaarheid die begin 2018 in Linux-kernel 4.14 is gedicht. In de Android-kernels 3.18, 4.4, en 4.9 is de kwetsbaarheid vervolgens ook gedicht, maar de patches zijn om onbekende redenen geen onderdeel geworden van de beveiligingsupdates van Android.

Daardoor zijn bijvoorbeeld de Pixel 1 en 2 wel kwetsbaar, maar de Pixel 3 en 3a niet. Googles Project Zero stelt dat in ieder geval de Pixel 1, Pixel 1 XL, Pixel 2, Pixel 2 XL, Huawei P20, Xiaomi Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3, LG-smartphones met Android Oreo en de Samsung S7, S8 en S9 vatbaar zijn voor misbruik. Die lijst is niet uitputtend.

Het Project Zero-team heeft aanwijzingen gekregen van Googles Threat Analysis Group dat de NSO Group exploits levert die de kwetsbaarheid misbruiken. NSO is een Israëlisch bedrijf dat zich richt op de ontwikkeling van beveiligingstechnologie. Het bedrijf kwam in het verleden in opspraak door de ontwikkeling van Pegasus. Dit is malware die in 2016 werd ontdekt en die misbruik maakte van een zerodaykwetsbaarheid in iOS om iPhones leeg te kunnen trekken. Pegasus werd volgens Citizen Lab onder andere ingezet tegen mensenrechtenactivisten. In 2017 werd ook een Android-variant aangetroffen.

Van de nieuw aangetroffen exploit heeft Google nog geen sample, waardoor onduidelijk is hoe NSO deze inzet. Google dicht het lek in de Android-beveiligingsupdate van oktober, die waarschijnlijk ergens in de komende dagen uitkomt. Project Zero maakt het bestaan nu al bekend vanwege zijn exposurebeleid rond zerodaykwetsbaarheden. Zeven dagen na de melding aan in dit geval het Android-team gaat het beveiligingsteam over tot publicatie.

Bron: Tweakers.net