Google heeft de laatste Quadrooter-lekken gedicht met een nieuwe patchronde. Dat schrijft het bedrijf in zijn laatste security bulletin. Twee van de in totaal vier lekken waren nog onopgelost. Ook legt Google uit hoe het Stagefright-lek in Nougat wordt tegengegaan.

Bij de onlangs gedichte lekken gaat het om cve-2016-5340 en cve-2016-2059, zo vermeldt het bericht van Google. Het eerste lek bevond zich in het Android-subsysteem voor de allocatie van geheugen en maakte het mogelijk voor een aanvaller om willekeurige code uit te voeren. Het tweede lek zat in de ipc_router, die de onderlinge communicatie tussen Qualcomm-onderdelen afhandelt. Deze kwetsbaarheden zijn onderdeel van de vier lekken die samen de naam Quadrooter hebben gekregen.

Zij werden in augustus door het beveiligingsbedrijf Check Point ontdekt en bevinden zich in de Qualcomm-drivers voor Android. De eerste schatting van het bedrijf was dat het lek 'honderden miljoenen' toestellen zou treffen, maar dit werd later tegengesproken door Google. Zo stelde Google dat apparaten met Android 4.2 of hoger beschermd zijn door middel van de 'verify apps'-functie, hoewel ze nog wel kwetsbaar zijn. In eerste instantie werd vermeld dat drie van de vier Quadrooter-kwetsbaarheden al waren gedicht, maar van twee lekken was nog niet bekend wanneer er een patch zou komen.

In een post van het Android-beveiligingsteam heeft Google daarnaast uitgelegd hoe het Stagefright-lek, dat in feite bestaat uit verschillende kwetsbaarheden, in de laatste Nougat-variant van Android is aangepakt. Het team legt uit dat het daarvoor de mediaserver opnieuw heeft opgebouwd. In 2015 kwam aan het licht dat het Stagefright-lek zich in dit onderdeel van Android bevond en een aanvaller in staat stelde om code uit te voeren op het apparaat van het slachtoffer, bijvoorbeeld aan de hand van een speciaal mms-bericht.

Om dit soort aanvallen tegen te gaan is er in Nougat voor gekozen om een systeem te ontwikkelen voor het detecteren van integer overflows, die kunnen leiden tot het uitvoeren van kwaadaardige code. Zodra een dergelijk incident wordt opgemerkt, sluit Android het desbetreffende proces af, zo legt het beveiligingsteam uit. Daarnaast is de media stack verdeeld in verschillende componenten die allemaal zijn voorzien van een eigen sandbox met beperkte rechten. Op die manier heeft een aanvaller eveneens beperkte toegang en is het lastiger om de kernel aan te vallen.

Overige verbeteringen vonden onder andere plaats in Verified Boot, waardoor gekraakte apparaten niet meer starten, en in aslr. Daarmee wordt een buffer overflow-aanval bemoeilijkt.

Reacties mogelijk gemaakt door CComment