Peneliti keamanan dan mahasiswa PhD di Universitas Northwestern, Zhenpeng Lin, menemukan kerentanan serius yang mempengaruhi kernel androidperangkat seperti seri Pixel 6 atau Galaxy S22. Detail pasti tentang cara kerja kerentanan ini belum dirilis karena alasan keamanan, namun peneliti mengklaim bahwa kerentanan ini dapat mengizinkan pembacaan dan penulisan sewenang-wenang, peningkatan hak istimewa, dan menonaktifkan perlindungan fitur keamanan SELinux Linux.
Galeri foto
Zhenpeng Lin memposting video di Twitter yang dimaksudkan untuk menunjukkan bagaimana kerentanan pada Pixel 6 Pro dapat memperoleh root dan menonaktifkan SELinux. Dengan alat seperti itu, peretas dapat melakukan banyak kerusakan pada perangkat yang disusupi.
Google Pixel 6 terbaru dilengkapi dengan kernel 0 hari! Mencapai baca/tulis sewenang-wenang untuk meningkatkan hak istimewa dan menonaktifkan SELinux tanpa membajak aliran kontrol. Bug ini juga memengaruhi Pixel 6 Pro, Pixel lain tidak terpengaruh 🙂 pic.twitter.com/UsOI3ZbN3L
—Zhenpeng Lin (@Markak_) Juli 5, 2022
Menurut beberapa detail yang ditampilkan dalam video, serangan ini mungkin menggunakan semacam penyalahgunaan akses memori untuk melakukan aktivitas jahat, berpotensi seperti kerentanan Dirty Pipe yang baru-baru ini ditemukan yang memengaruhi Galaxy S22, Piksel 6, dan lainnya androidperangkat ova yang diluncurkan dengan kernel Linux versi 5.8 Androidu 12. Lin juga mengatakan bahwa kerentanan baru mempengaruhi semua ponsel yang menjalankan kernel Linux versi 5.10, termasuk seri andalan Samsung yang disebutkan saat ini.
Anda mungkin tertarik
Tahun lalu, Google membayar $8,7 juta (sekitar CZK 211,7 juta) sebagai imbalan karena menemukan bug di sistemnya, dan saat ini menawarkan hingga $250 (sekitar CZK 6,1 juta) untuk menemukan kerentanan di tingkat kernel, yang tampaknya merupakan kasus. Baik Google maupun Samsung belum mengomentari masalah ini, jadi saat ini masih belum jelas kapan eksploitasi kernel Linux baru akan ditambal. Namun, karena cara kerja patch keamanan Google, kemungkinan patch yang relevan baru akan tersedia pada bulan September. Jadi kita tidak punya pilihan selain menunggu.
