Googles sikkerhedsteam har fundet en sårbarhed i Android der kan benyttes til at overtage telefonen.
Google’s Project Zero er et sikkerhedsteam som identificerer og dokumenterer 0-dags sårbarheder. Det er den type sårbarheder som er ukendte i den brede offentlighed, og dermed kan udnyttes af dem der kender til det.
Nu har teamet fundet sådan en sårbarhed i Android der påvirker telefoner fra bl.a. Samsung, Huawei, LG og Google selv. Det skriver ZDNet.
Fejlen, der er fundet i operativsystemets ‘kernel’, kan udnyttes til at skaffe administratoradgang (root) til telefonens operativsystem.
Ironisk nok så blev dette hul i Android lukket tilbage i december 2017, men sårbarheden er senere dukket op i Android igen.
Det er ikke kun en teoretisk risiko. Ifølge Googles Threat Analysis Group (TAG), så har de fundet beviser på at det er et hul der udnyttes.
Da hullet burde havde været lukket allerede så gav sikkerhedsteamet hos Google Project Zero kun en uge til at få det fikset, inden de gik ud i offentligheden med informationerne. Så Android-teamet hos Google har haft travlt.
Ifølge Google er disse telefoner i fare:
- Google Pixel 2, med Android 9 eller Android 10 preview
- Huawei P20, med Android 8 Oreo eller nyere
- LG telefoner, med Android 8 Oreo
- Motorola Z3, med Android 8 Oreo eller nyere
- Oppo A3, med Android 8 Oreo eller nyere
- Samsung Galaxy S7, med Android 8 Oreo eller nyere
- Samsung Galaxy S8, med Android 8 Oreo eller nyere
- Samsung Galaxy S9, med Android 8 Oreo eller nyere
- Xiaomi 5A, Note 5 pg A1, med Android 8 Oreo eller nyere
Sårbarheden er ikke den farligste type, da den kræver fysisk adgang til telefonen. Tidligere 0-dags sårbarheder har haft mulighed for at afvikle kode via fjernadgang, men det er ikke muligt med dette hul.
Sårbarheden her har fået sporingskoden CVE-2019-2215