影響多家 Android 原始設備制造商 ( OEM ) 的本地特權提升缺陷的概念驗證 ( PoC ) 漏洞現已在 GitHub 上公布。然而,由于該漏洞需要本地訪問,因此其發布将主要對專業研究人員有所幫助。
該漏洞的編号爲 CVE-2023-45779,由 Meta 的 Red Team X 于 2023 年 9 月上旬發現,并在 Android 2023 年 12 月的安全更新中得到解決 ,但沒有披露攻擊者可用來識别和利用該漏洞的詳細信息。
該漏洞的存在是由于使用測試密鑰對 APEX 模塊進行不安全簽名,允許攻擊者向平台組件推送惡意更新,從而導緻本地權限提升。盡管該漏洞無法直接遠程利用,但它凸顯了兼容性測試套件 ( CTS ) 和 Android 開源項目 ( AOSP ) 文檔中的弱點,Google 計劃在即将發布的 Android 15 版本中解決這些弱點。
已收到 Android 安全補丁級别 2023-12-05 的設備将受到 CVE-2023-45779 的保護。
APEX 簽名并不安全
有研究人員發表了一篇文章, 解釋說問題在于使用 AOSP 公開的測試密鑰簽署 APEX 模塊。
APEX 模塊使 OEM 能夠推送特定系統組件的更新,而無需發布完整的無線 ( OTA ) 更新,從而使更新包更精簡、更易于測試并交付給最終用戶。
這些模塊應使用在構建過程中創建的隻有 OEM 知道的私鑰進行簽名。然而,使用 Android 源代碼構建樹中的相同公鑰,意味着任何人都可以僞造關鍵系統組件更新。此類更新可能會爲攻擊者提供更高的設備權限,從而繞過現有的安全機制并導緻全面洩露。
CVE-2023-45779 影響許多 OEM,包括微軟 ( Surface Duo 2 ) 、諾基亞 ( G50 ) 、Nothing ( Phone 2 ) 、費爾電話 ( 5 ) 等。
上述模型僅涉及測試覆蓋範圍,因此這些 OEM 的多個(如果不是全部)模型可能容易受到 CVE-2023-45779 的影響。
多家 OEM 未能發現安全問題的原因是多方面的,包括 AOSP 中不安全的默認設置、文檔不足以及 CTS 覆蓋範圍不足,未能檢測到 APEX 簽名中測試密鑰的使用。
其設備型号經 Meta 分析師測試并确認由于使用私鑰而不會受到 CVE-2023-45779 影響的 OEM 廠商包括 Google ( Pixel ) 、三星 ( Galaxy S23 ) 、索尼(Xperia 1 V)、摩托羅拉(Razr 40 Ultra)和 OnePlus(10T)等。
可用的漏洞利用
研究人員在 GitHub 上發布了 CVE-2023-45779 的漏洞。
通常,該缺陷需要對目标設備進行物理訪問,并需要一些使用 "adb shell" 來利用它的專業知識,因此 PoC 主要用于研究和緩解驗證。然而,正如我們多次看到的那樣,該漏洞始終有可能被用作漏洞鏈的一部分 ,以提升已受損設備上的權限。
如果您的 Android 設備運行的版本早于 Android 安全補丁級别 2023-12-05,請考慮切換到發行版或升級到較新的型号。
