Google предупреждает о критической уязвимости в ядре Linux Android

В настоящее время Google предупреждает о критической уязвимости в ядре Linux Android, которая уже эксплуатируется. Непривлекательная: уязвимость была обнаружена в 2017 году, и многие Android-смартфоны никогда не будут получать обновления.

Уязвимость обнаружена в версиях ядра Android, выпущенных до апреля прошлого года. В декабре 2017 года был выпущен патч для ядра Linux 4.14 LTS. Это было интегрировано только в версии ядра AOSP Android 3.18, 4.4 и 4.9.

Эта проблема оценена как Высокая серьезность на Android и сама по себе требует установки вредоносного приложения для потенциальной эксплуатации. Любые другие векторы, ищите как через веб-браузер, требуют цепочки с дополнительным эксплойтом Партнеры Android и патч доступны на Android Common Kernel. Устройства Pixel 3 и 3 не являются уязвимыми, в то время как устройства Pixel 1 и 2 должны получать обновления для этой проблемы в рамках октябрьского обновления.

На какие смартфоны это влияет?

Уязвимость CVE-2019-2215 затрагивает следующие смартфоны:

Проблема: Android смартфоны, которые все еще находятся в цикле обновления, обычно получают эти обновления безопасности с задержкой в 3 месяца. Многие модели Android даже не видят обновления. С моей точки зрения, пользователи Android должны ограничиваться только количеством установленных приложений и полагаться на доверенных разработчиков приложений.