En nylig opdagelse i teknologiverdenen har skabt bekymring blandt Android-enhedsbrugere. En proof-of-concept-udnyttelse (PoC) til en kritisk udvidelse af privilegiefejl identificeret som CVE-2023-45779 påvirker flere Android-producenter af originalt udstyr (OEM'er). Den blev offentliggjort på GitHub-platformen og gav dermed åben adgang til forskere og udviklere.
Fejlen blev oprindeligt identificeret af Metas Red Team X i september 2023 og senere rettet i Android-sikkerhedsopdateringen fra december 2023. Kerneproblemet er baseret på den usikre signering af APEX-moduler med testnøgler, hvilket gør det muligt for angribere at implementere ondsindede opdateringer beregnet til vitale platform komponenter.
Selv om sårbarheden ikke kan udnyttes direkte eksternt, fremhæver den svagheder i dokumentationen til Compatibility Test Suite (CTS) og Android Open Source Project (AOSP). Google har tilkendegivet sin hensigt om at rette disse mangler i den kommende Android 15-version.
Advarsel til Android efter offentliggørelse af en farlig udnyttelse til telefoner
For Android-enhedsbrugere er det afgørende at vide, at enheder, der har modtaget december 2023-sikkerhedsopdateringen (patch-niveau 2023-12-05) er beskyttet mod CVE-2023-45779-sårbarheden. Metas Tom Hebb påpegede problemet med at signere APEX-moduler med testnøgler, en risikabel praksis, der kunne tillade kritiske opdateringer til systemkomponenter at blive oprettet af alle med adgang til disse nøgler.
APEX-moduler, der er afgørende for systemopdateringer, bør signeres med private nøgler, der kun er kendt af OEM'er. Brug af offentlige nøgler fra Android-kildekodebyggetræet er et alvorligt sikkerhedsproblem.
Den udnyttelse, der er tilgængelig på GitHub til CVE-2023-45779, er mere et værktøj til forskning end en umiddelbar trussel mod almindelige brugere. Det kræver fysisk adgang til enheden og avanceret viden at udnytte. Der er dog altid en risiko for, at dette kan bruges i kombination med andre sårbarheder for at kompromittere enheder.
Det er vigtigt for ejere af Android-enheder at være opmærksomme på deres sikkerhedsniveau. Hvis din enhed kører en version, der er ældre end Android-sikkerhedspatch-niveau 2023-12-05, anbefales det at opgradere til en nyere version eller en opdateret enhedsmodel.
Som konklusion tjener CVE-2023-45779-fejlen som en vigtig påmindelse om vigtigheden af sikkerhedsopdateringer og sikker softwaresigneringspraksis i Android-økosystemet. Brugere bør være på vagt og opdatere deres enheder regelmæssigt for at sikre, at de er beskyttet mod sådanne sårbarheder.
