Wat u moet weten over de kwetsbaarheid van linux kernel van config_keys

Een nieuw beveiligingsprobleem (CVE-2016-0728 voor degenen die deze dingen graag willen bijhouden) werd op 14 januari aangekondigd door Perception Point, een onderzoeksteam voor beveiliging. De bug is van invloed op kernels die zijn gecompileerd met de CONFIG_KEYS kernelconfiguratieschakelaar ingesteld op "aan" en is sinds versie 3.8 aanwezig in alle Linux-kernels. De exploit maakt root-escalatie mogelijk door een 32-bits geheel getal terug te zetten naar nul. Perception point beweert dat "ongeveer tientallen miljoenen Linux-pc's en -servers en 66 procent van alle Android-apparaten worden getroffen".

Adrian Ludwig van Google, hoofdingenieur voor Android-beveiliging, heeft gereageerd en zei dat de exploit sinds 20 januari is gepatcht en vrijgegeven voor open source.

Zoals altijd zijn er nog veel vragen. Laten we erover praten.

Wat is er aan de hand?

Er is een bug in de Linux-kernel (versie 3.8 en hoger) waardoor een aanvaller root-toegang kan krijgen. De kernel moet zijn gebouwd met de Keyring-service ingeschakeld, en een aanval moet veel wiskunde doen om een ​​getal zo hoog mogelijk te laten tellen en dan terug te gaan naar nul. Er zijn 4.294.967.296 berekeningen nodig om een ​​32-bits geheel getal (twee tot de 32e macht) terug te zetten naar nul. Dit duurt slechts 30 minuten of zo op een gloednieuwe Intel i7 CPU, maar zou veel langer duren (zoals in een heel veel langer) op een CPU van een telefoon.

Zodra het nummer helemaal rond is (denk aan hoe een flipperkast teruggaat naar nul zodra je score 999.999.999 bereikt) en terug naar nul, kan de aanvaller toegang krijgen tot de geheugenruimte en code uitvoeren als de supergebruiker.

Moet je je zorgen maken?

We moeten ons altijd zorgen maken wanneer een beveiligingsuitbuiting ontstaat. Deze keer is het niet anders. Maar er zijn een paar dingen die velen vragen stellen over het aantal mogelijk getroffen apparaten.

• In de aanbevolen kernelconfiguratie voor Android-apparaten is de variabele CONFIG_KEYS niet ingeschakeld en dat betekent dat deze exploit geen effect heeft. De mensen die uw telefoon hebben gemaakt, hebben deze mogelijk ingeschakeld, en aangepaste ROM-fornuizen misschien ook.
• Alle Nexus-telefoons worden niet beïnvloed - ze gebruiken de standaard kernelconfiguratie en de sleutelring is niet ingeschakeld in de kernel.
• SELinux ontkent de aanvalsvector, dus als uw telefoon of tablet Android 5.0 of hoger gebruikt, zou u hier geen last van moeten hebben.
• De meeste apparaten waarop Android 5.0 of hoger niet wordt uitgevoerd, gebruiken een oudere versie van de Linux-kernel en worden niet beïnvloed.

Ja, veel computers, telefoons en tablets worden getroffen door deze exploit. Maar we betwijfelen de cijfers die Perception Point heeft gegeven.

We kunnen niet alle 11.000 verschillende Androids-modellen controleren, maar we kunnen iedereen met meer vragen naar hun relevante apparaatforum sturen. Kortom, als u Lollipop gebruikt, bent u veilig. Als dit niet het geval is, kijk dan op het scherm Over apparaat en controleer uw kernelversie. Als het eerder is dan 3.8, ben je veilig.

Wat moet ik doen?

Dit is een van die beveiligingsproblemen die door een app kunnen worden misbruikt, op voorwaarde dat uw telefoon kwetsbaar is zoals hierboven is besproken. Omdat er veel berekeningen mee gemoeid zijn, zou je een slechte app lange tijd op de voorgrond moeten laten draaien, dus zoiets als een game zou een goede app zijn om te proberen een exploit te hacken.

Installeer geen apps die u niet vertrouwt om veilig te blijven. Ooit.

Als u niet zeker weet wie u kunt vertrouwen, zorg er dan voor dat u niet toestaat dat apps van onbekende bronnen worden geïnstalleerd en houd u aan Google Play.

Het is echt zo gemakkelijk om hier 100 procent veilig van te zijn.

Hoe zit het met updates voor de exploits?

Ludwig van Google zegt dat de patch op 20 januari als open source is uitgebracht en bij alle partners is afgeleverd. Fabrikanten moeten deze patch opnemen om te voldoen aan het beveiligingspatchniveau van 1 maart 2016 en later.