实际上,QuadRooter是什么?它如何在Android设备上工作?

有新闻报道说,有9亿个Android设备容易受到攻击:


严重的安全漏洞在数以百万计的Android设备上使用的软件中发现了可以使攻击者完全访问手机数据的信息。该公司表示,在大约9亿部Android手机中发现了高通处理器。


文章还说,这是芯片组级别的。 br />
这是真的吗?

内部如何工作?

评论

我无法回答这个问题,但请仔细阅读文章以了解不诚实的数字游戏。 “使用了数以千万计的软件…(无关)9亿个”媒体喜欢大数目。越大越好。您的问题的答案可能是“不,只有那几千万人受到影响”。但我不确定,所以我不会写答案。

任何运行Android 4.2(JellyBean)或更高版本的手机都将安装Google的App Verify。默认情况下,此功能处于启用状态,只要手机上安装了Google Play服务,它就会在所有已安装的应用中检测到这些漏洞。因此,几乎没有9亿台设备受到影响,因为4.2或更高版本的设备占所有Android设备的80%。只有那些使用较旧的android版本或不许可Google Play服务的廉价Android手机的用户才会受到影响。

@ehambright然而,即使不是在中国出售的大多数手机,无论是否便宜,是否在中国制造,是否具有4.2以上版本,都不会加载GAPPS / PlayServices。它们占Android销售额的很大一部分(虽然不一定是9亿)。另外一个事实是,我们中国人专门使用替代市场,至少我们自己有一个问题。

#1 楼


什么是QuadRooter?


Quadrooter是一系列安全漏洞的名称,其中包括



CVE-2016-2059
CVE-2016-2504
CVE-2016-2503
CVE-2016-5340

这些是芯片组制造商高通公司提供的Linux / Android系统软件中的弱点。 />
您下载的一个应用程序可能会利用它们,甚至是不要求任何特殊特权的应用程序。这样的应用程序可以利用这些漏洞来对手机进行更高级别的控制,包括访问您存储在手机上的任何私人数据。


美国国家漏洞数据库针对Linux内核3.x的IPC路由器内核模块中net / ipc_router / ipc_router_core.c中的msm_ipc_router_bind_control_port函数,上面列出的漏洞如高通创新中心(QuIC)针对MSM设备和其他产品的Android贡献中所使用的那样,它不会验证端口是否为客户端端口,从而使攻击者获得以下特权或导致拒绝服务(竞赛条件和列表损坏)许多BIND_CONTROL_PORT ioctl调用。


2504


Nexus 5、5X,6、2016-08-05之前的Android Qualcomm GPU驱动程序6P和7(2013)设备允许攻击者通过精心设计的应用程序(即Android内部错误28026365和Qualc)获得特权omm内部错误CR1002974。


2503


Nexus 5X和6P设备上的Android Qualcomm GPU驱动程序于2016-07-05之前允许攻击者可以通过精心设计的应用程序(即Android内部错误28084795和Qualcomm内部错误CR1006067)获得特权。针对Linux内核3.x的某个Qualcomm创新中心(QuIC)Android补丁中的drivers / staging / android / ashmem.c中的is_ashmem_file函数错误地处理了KGSL Linux图形模块中的指针验证,这使攻击者可以绕过目标访问限制使用/ ashmem字符串作为牙科名称。



您可以从Google Play商店下载名为“ Quadrooter Scanner”的应用-它将告诉您手机是否脆弱的。该应用程序是由Checkpoint Software Technologies Ltd.编写的。我已经安装,运行并卸载了它。除此之外,我不能说它是否可靠。

高通公司已向制造商发布了软件修复程序

Google已在其安全公告中针对其中的一些问题进行了修正。七月和八月

Issue                                    CVE            Severity    Affects 
                                                                    Nexus?
Elevation of privilege vulnerability in  CVE-2016-2503,  Critical   Yes
Qualcomm GPU driver (Device specific)    CVE-2016-2067


...

Elevation of privilege vulnerability in  CVE-2016-2504,  Critical   Yes
Qualcomm GPU driver                      CVE-2016-3842


...

Elevation of privilege vulnerability in Qualcomm GPU driver

An elevation of privilege vulnerability in the Qualcomm GPU driver could 
enable a local malicious application to execute arbitrary code within the 
context of the kernel. This issue is rated as Critical due to the 
possibility of a local permanent device compromise, which may require 
reflashing the operating system to repair the device.

CVE References  Severity    Updated Nexus devices   Date reported
CVE-2016-2504    Critical   Nexus 5, Nexus 5X,      Apr 5, 2016
A-28026365                  Nexus 6, Nexus 6P, 
QC-CR#1002974               Nexus 7 (2013)



我怀疑易受攻击的手机的所有者有多种选择,包括部分或全部


等待制造商提供完整的信息。进行空中更新以解决此问题。
在解决漏洞之前,请不要下载任何新应用程序
防止更新应用程序
卸载所有多余的应用程序
关闭手机电源,直到确定已修复准备好了吗?

我想很多人至少会将最后一项视为过度杀伤。




9亿个Android设备是否容易受到攻击? >

每年全球智能手机的销售额约为10亿美元。

高通公司是集成电话的主要制造商智能手机中使用的电路。他们出售各种IC,包括流行的基于ARM的“ Snapdragon”系列CPU。他们的年收入约为250亿美元。

据《福布斯》


根据ABI Research的调查,领先的芯片组制造商高通公司(Qualcomm)在2015年仍然是LTE基带芯片组的领导者。该公司在这一年中占据了LTE基带芯片组市场65%的巨大份额。


2016年可能会使用20亿部智能手机。当然,其中很多将是IOS设备。可能仍然有一个或两个Windows Phone用户:-)。

智能手机的平均寿命可能为两年或四年。二手智能手机肯定有市场。似乎仍有许多超过一年的智能手机仍在使用。

当然,有些Android设备不是智能手机。 Google估计全球有14亿台活跃的Android设备。 14亿的65%为9.1亿。这也许就是记者得出这一数字的方式。如果是这样,那根本就不准确。

但是,假设易受攻击的驱动程序已经存在了几年,那么似乎有可能影响亿万个设备。 9亿似乎是可能的估计值的最高上限。


相关



2016-08-10“谷歌表示大多数用户受到保护'反对'Quadrooter'-Play商店应发现漏洞”

2016-08-08 QuadRooter漏洞:关于此Android安全恐慌要了解的5件事



评论


那么,自定义内核可能不足以修补此漏洞吗?

– Grimoire
16年8月8日在10:54

我想知道是否可以信任扫描仪工具对发现的信息不做任何进一步的处理...

– John Dvorak
16年8月8日在11:46

@JanDvorak:至少可以选择是否共享扫描结果

– beeshyams
16年8月8日在12:10

@beeshyams这是使用户为您启用网络访问的完美借口,以便您可以发送刚刚获得访问权限的个人数据。

–德米特里·格里戈里耶夫(Dmitry Grigoryev)
16年8月8日在14:05

一如往常,答案似乎是-假设您的手机已被黑客入侵,并且在手机上不存储任何敏感数据,也不允许其访问敏感数据。这些缺陷(以及缺乏安全更新)将智能手机变成玩具,尽管无论如何这似乎只是它们的全部用途:-)

– gbjbaanb
16年8月8日在22:58

#2 楼

有关Quadrooter的更多信息

流量劫持Linux漏洞影响了80%的Android设备-包括牛轧糖-提取物


尽管有大量的智能手机和平板电脑风险,Lookout表示该漏洞难以利用,从而在一定程度上减轻了风险:



该漏洞使攻击者可以远程监视正在使用未加密流量或降级的人员。加密的连接。虽然此处不需要中间攻击者,但攻击者仍然需要知道源IP地址和目标IP地址才能成功执行攻击。


我们可以估计出所有Android版本最新运行Linux Kernel 3.6(大约Android 4.4 KitKat)容易受到此攻击或占Android生态系统的79.9%。
我们发现Linux内核的修补程序是在2016年7月11日编写的。但是,检查是Android Nougat的最新开发人员预览版,它看起来像不是针对此漏洞修补了内核。这很可能是因为该修补程序在最新的Android更新之前不可用。





(提供增强功能)


为了修补此漏洞,Android设备需要更新其Linux内核。幸运的是,在补丁发布之前,用户可以采取一些补救措施:


加密您的通信以防止其被欺骗。这意味着确保您浏览的网站和您使用的应用程序都使用HTTPS和TLS。如果您想增加额外的预防措施,也可以使用VPN。
如果您拥有扎根的Android设备,则可以通过使用sysctl工具并将net.ipv4.tcp_challenge_ack_limit的值更改为来使这种攻击更加困难很大的东西,例如net.ipv4.tcp_challenge_ack_limit = 999999999




诈骗者将虚假的Android安全补丁程序放入Google Play-提取物


诈骗者在Google Play中放置了一个伪造的Android安全补丁应用程序来感染智能手机。

打包为应用程序的虚假补丁在Google Play中曾短暂存在,据称可以修复所谓的QuadRooter错误,安全公司Check Point上周透露了这一消息。

据安全公司ESET称,Google现在已从Google Play中删除了这两个违规应用。发行商Kiwiapps Ltd.都将这两个都称为“ Fix Patch QuadRooter”。

ESET研究人员表示,这是第一次使用伪造的Android安全补丁来吸引潜在受害者。


评论


将net.ipv4.tcp_challenge_ack_limit增加到非常大的值会影响其他哪些Android资源(如果有)?它会抑制或减少任何净值吗? (我不知道这就是为什么我问)

–HasH_BrowN
16年8月16日在19:31



@HasH_BrowN抱歉,我不知道

– beeshyams
16年8月17日在2:34