Niedawne odkrycie w świecie technologii wywołało niepokój wśród użytkowników urządzeń z Androidem. Exploit typu „proof-of-concept” (PoC) umożliwiający krytyczne podniesienie uprawnień zidentyfikowany jako CVE-2023-45779 dotyczy wielu producentów oryginalnego sprzętu (OEM) systemu Android. Został on upubliczniony na platformie GitHub, zapewniając tym samym otwarty dostęp badaczom i programistom.
Luka została początkowo zidentyfikowana przez zespół Meta Red Team X we wrześniu 2023 r., a następnie naprawiona w aktualizacji zabezpieczeń Androida z grudnia 2023 r. Główny problem polega na niepewnym podpisywaniu modułów APEX kluczami testowymi, umożliwiając w ten sposób atakującym wdrażanie złośliwych aktualizacji przeznaczonych dla kluczowych elementy platformy.
Luki tej, choć nie można bezpośrednio wykorzystać zdalnie, uwypuklają słabe punkty w dokumentacji pakietu Compatibility Test Suite (CTS) i Android Open Source Project (AOSP). Google zasygnalizował zamiar naprawienia tych niedociągnięć w nadchodzącej wersji Androida 15.
Alert dla Androida po opublikowaniu niebezpiecznego exploita dla telefonów
Dla użytkowników urządzeń z Androidem istotna jest informacja, że urządzenia, które otrzymały aktualizację zabezpieczeń z grudnia 2023 r. (poziom poprawki 2023-12-05) są chronione przed luką CVE-2023-45779. Tom Hebb z Meta zwrócił uwagę na kwestię podpisywania modułów APEX kluczami testowymi, co jest ryzykowną praktyką, która może pozwolić na utworzenie krytycznych aktualizacji komponentów systemu przez każdą osobę mającą dostęp do tych kluczy.
Moduły APEX niezbędne do aktualizacji systemu powinny być podpisane kluczami prywatnymi znanymi jedynie producentom OEM. Używanie kluczy publicznych z drzewa kompilacji kodu źródłowego Androida stanowi poważny problem bezpieczeństwa.
Exploit dostępny w GitHub dla CVE-2023-45779 jest bardziej narzędziem do badań niż bezpośrednim zagrożeniem dla zwykłych użytkowników. Aby je wykorzystać, potrzebny jest fizyczny dostęp do urządzenia i zaawansowana wiedza. Zawsze jednak istnieje ryzyko, że można to wykorzystać w połączeniu z innymi lukami w celu naruszenia bezpieczeństwa urządzeń.
Właściciele urządzeń z Androidem powinni być świadomi swojego poziomu bezpieczeństwa. Jeśli na Twoim urządzeniu działa wersja starsza niż poprawka zabezpieczeń Androida na poziomie 2023-12-05, zaleca się aktualizację do nowszej wersji lub zaktualizowanego modelu urządzenia.
Podsumowując, luka CVE-2023-45779 stanowi ważne przypomnienie o znaczeniu aktualizacji zabezpieczeń i praktyk bezpiecznego podpisywania oprogramowania w ekosystemie Androida. Użytkownicy powinni zachować czujność i regularnie aktualizować swoje urządzenia, aby mieć pewność, że są chronione przed takimi lukami.
