Google รายงานช่องโหว่ร้ายแรงใน Android ที่อาจทำให้ถูกแฮกยึดเครื่องได้ พบการโจมตีแล้ว อยู่ระหว่างออกแพตช์

เมื่อวันที่ 4 ตุลาคม 2562 ทีม Project Zero ของ Google ได้รายงานช่องโหว่ใน Android ที่มีผลกระทบกับโทรศัพท์มือถือหลายรุ่น ตัวช่องโหว่สามารถใช้โจมตีเพื่อให้ได้สิทธิ์ root ของเครื่อง ส่งผลให้ผู้ประสงค์ร้ายสามารถแฮกยึดเครื่องได้ จากรายงาน ทาง Google พบว่าช่องโหว่นี้ถูกใช้โจมตีแล้ว กำลังทยอยออกแพตช์ให้กับอุปกรณ์ที่ได้รับผลกระทบ ระหว่างนี้ผู้ใช้ควรระวังไม่ติดตั้งแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ

จากรายงานของทีม Project Zero ช่องโหว่นี้เกิดจากข้อผิดพลาดประเภท use-after-free ในส่วน binder driver ของ Linux kernel ซึ่งตัวช่องโหว่ได้ถูกแก้ไขไปแล้วใน kernel เวอร์ชัน 4.14 เมื่อต้นปี 2561 โดยที่การแก้ไขนั้นไม่ได้มีการบันทึกข้อมูล CVE ของช่องโหว่นี้ไว้ ทำให้เมื่อทางทีมพัฒนา Android นำโค้ดของ Linux kernel ไปพัฒนาต่อจึงไม่ได้มีการดึงแพตช์ที่ว่านี้ไปรวมด้วย อีกทั้งตัวแพตช์นี้อยู่ในส่วนของ kernel จึงไม่ได้ถูกใส่ไว้ในแพตช์ประจำเดือน ส่งผลให้อุปกรณ์ที่วางจำหน่ายหรือใช้ซอฟต์แวร์ที่พัฒนาในระหว่างนั้นได้รับผลกระทบด้วย (ปัจจุบันช่องโหว่นี้มีรหัส CVE-2019-2215)

ตัวอย่างรายชื่อโทรศัพท์มือถือที่ได้รับการยืนยันว่ามีช่องโหว่นี้ได้แก่ Google Pixel 1 และ 2, Huawei P20, Xiaomi Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3, มือถือ LG รุ่นที่ใช้ Android Oreo, และ Samsung Galaxy S7 จนถึง S9 (รุ่นที่ไม่อยู่ในรายชื่อนี้อาจไม่มีช่องโหว่หรืออาจยังไม่ได้ยืนยัน)

ทาง Google รายงานว่าพบการนำช่องโหว่นี้ไปใช้โจมตีจริงแล้ว โดยช่องทางการโจมตีนั้นทาง Google ยืนยันว่าช่องโหว่นี้ยังไม่สามารถใช้เพื่อแฮกยึดเครื่องจากระยะไกลได้ แนวทางการโจมตีที่เป็นไปได้คือต้องติดตั้งแอปพลิเคชันที่โจมตีช่องโหว่นี้ลงในเครื่อง หากจะโจมตีผ่านเว็บไซต์จำเป็นต้องใช้ช่องโหว่อื่นร่วมด้วย ดังนั้นเบื้องต้นในระหว่างที่รอแพตช์ผู้ใช้ควรลดความเสี่ยงด้วยการไม่ติดตั้งแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ ทั้งนี้ ทาง Google แจ้งว่าแพตช์สำหรับ Pixel 1 และ 2 จะปล่อยมาพร้อมกับแพตช์เดือนตุลาคม ส่วนแพตช์ของผู้ผลิตมือถือรายอื่นๆ นั้นผู้ใช้ต้องตรวจสอบกับทางผู้ผลิตอีกครั้งหนึ่ง

ที่มา: Ars TechnicaGoogle Project Zero, ThaiCERT

Comments are closed.