Mtafiti wa usalama na mwanafunzi wa PhD katika Chuo Kikuu cha Northwestern Zhenpeng Lin aligundua udhaifu mkubwa unaoathiri punje katika androidvifaa kama vile mfululizo wa Pixel 6 au Galaxy S22. Maelezo kamili ya jinsi athari hii inavyofanya kazi bado haijatolewa kwa sababu za usalama, lakini mtafiti anadai kwamba inaweza kuruhusu kusoma na kuandika kiholela, kuongezeka kwa fursa, na kuzima ulinzi wa kipengele cha usalama cha SELinux cha Linux.
picha Nyumba ya sanaa
Zhenpeng Lin alichapisha video kwenye Twitter akidai kuonyesha jinsi udhaifu kwenye Pixel 6 Pro uliweza kupata mizizi na kuzima SELinux. Kwa zana kama hizo, mdukuzi anaweza kufanya uharibifu mkubwa kwa kifaa kilichoathiriwa.
Google Pixel 6 ya hivi punde ilipata punje ya siku 0! Imefaulu kusoma/kuandika bila mpangilio ili kuongeza upendeleo na kuzima SELinux bila mtiririko wa udhibiti wa utekaji nyara. Hitilafu pia huathiri Pixel 6 Pro, Pixels nyingine haziathiriwi 🙂 pic.twitter.com/UsOI3ZbN3L
- Zhenpeng Lin (@Markak_) Julai 5, 2022
Kulingana na maelezo kadhaa yaliyoonyeshwa kwenye video, shambulio hili linaweza kutumia aina fulani ya matumizi mabaya ya ufikiaji wa kumbukumbu kutekeleza shughuli hasidi, kama vile athari ya Bomba Mchafu iliyogunduliwa hivi majuzi ambayo iliathiri. Galaxy S22, Pixel 6 na wengine androidvifaa vya ova ambavyo vilizinduliwa na toleo la Linux kernel 5.8 Androidu 12. Lin pia alisema kuwa uwezekano huo mpya huathiri simu zote zinazotumia Linux kernel toleo la 5.10, ambalo linajumuisha mfululizo wa sasa wa bendera wa Samsung uliotajwa.
Unaweza kupendezwa na
Mwaka jana, Google ililipa $8,7 milioni (takriban CZK milioni 211,7) kama fadhila kwa kugundua hitilafu kwenye mfumo wake, na kwa sasa inatoa hadi $250 (takriban CZK milioni 6,1) kwa ajili ya kutafuta udhaifu katika kiwango cha punje, ambayo inaonekana kuwa hivyo. . Sio Google au Samsung bado hawajatoa maoni juu ya suala hilo, kwa hivyo haijulikani wakati huu unyonyaji mpya wa Linux kernel unaweza kuwekwa viraka. Hata hivyo, kutokana na jinsi viraka vya usalama vya Google hufanya kazi, inawezekana kwamba kiraka husika hakitafika hadi Septemba. Kwa hivyo hatuna chaguo ila kungoja.
