Natuklasan ng security researcher at PhD student sa Northwestern University, Zhenpeng Lin, ang isang seryosong kahinaan na nakakaapekto sa kernel sa androidmga device gaya ng Pixel 6 series o Galaxy S22. Ang mga eksaktong detalye kung paano gumagana ang kahinaan na ito ay hindi pa nailalabas para sa mga kadahilanang pangseguridad, ngunit sinasabi ng mananaliksik na maaari nitong payagan ang arbitrary na pagbasa at pagsulat, pagtaas ng pribilehiyo, at hindi paganahin ang proteksyon ng tampok na panseguridad ng SELinux ng Linux.
Photo Gallery
Nag-post si Zhenpeng Lin ng video sa Twitter na naglalayong ipakita kung paano na-ugat at na-disable ang SELinux ng kahinaan sa Pixel 6 Pro. Sa ganitong mga tool, maaaring gumawa ng maraming pinsala ang isang hacker sa isang nakompromisong device.
Ang pinakabagong Google Pixel 6 na na-pwned na may 0araw na kernel! Nakamit ang di-makatwirang pagbabasa/sulat upang palakihin ang pribilehiyo at huwag paganahin ang SELinux nang walang pag-hijack ng daloy ng kontrol. Nakakaapekto rin ang bug sa Pixel 6 Pro, hindi apektado ang ibang Pixel 🙂 pic.twitter.com/UsOI3ZbN3L
—Zhenpeng Lin (@Markak_) Hulyo 5, 2022
Ayon sa ilang mga detalye na ipinakita sa video, ang pag-atake na ito ay maaaring gumamit ng ilang uri ng pag-abuso sa pag-access sa memorya upang magsagawa ng malisyosong aktibidad, na posibleng tulad ng kamakailang natuklasang kahinaan ng Dirty Pipe na nakaapekto Galaxy S22, Pixel 6 at iba pa androidova device na inilunsad na may Linux kernel version 5.8 on Androidu 12. Sinabi rin ni Lin na ang bagong kahinaan ay nakakaapekto sa lahat ng mga teleponong nagpapatakbo ng Linux kernel version 5.10, na kinabibilangan ng kasalukuyang flagship series ng Samsung na nabanggit.
Maaari kang maging interesado sa
Noong nakaraang taon, nagbayad ang Google ng $8,7 milyon (humigit-kumulang CZK 211,7 milyon) bilang mga gantimpala para sa pagtuklas ng mga bug sa system nito, at kasalukuyang nag-aalok ng hanggang $250 (humigit-kumulang CZK 6,1 milyon) para sa paghahanap ng mga kahinaan sa antas ng kernel, na tila ito ang kaso . Wala pa ring komento ang Google o Samsung sa bagay na ito, kaya hindi malinaw sa puntong ito kung kailan maaaring ma-patched ang bagong pagsasamantala sa kernel ng Linux. Gayunpaman, dahil sa paraan ng paggana ng mga patch sa seguridad ng Google, posibleng hindi darating ang nauugnay na patch hanggang Setyembre. Kaya no choice kami kundi maghintay.
