| page.title=Примечание по безопасности Android – 18 марта 2016 г. |
| @jd:body |
| <!-- |
| Copyright 2016 The Android Open Source Project |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| http://www.apache.org/licenses/LICENSE-2.0 |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| |
| <div id="qv-wrapper"> |
| <div id="qv"> |
| <h2>В этом документе</h2> |
| <ol id="auto-toc"> |
| </ol> |
| </div> |
| </div> |
| |
| <p><em>Опубликовано 18 марта 2016 г.</em></p> |
| |
| <p>Примечания являются дополнением к бюллетеням по безопасности Nexus. |
| <a href="index.html">Подробнее…</a></p> |
| |
| <h2 id="summary">Общая информация</h2> |
| |
| <p>Google стало известно о рутинг-приложении, использующем уязвимость ядра на |
| некоторых устройствах Android для повышения привилегий (<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805">CVE-2015-1805</a>). |
| |
| Проблема возникает, если пользователь устанавливает вредоносное ПО на телефон |
| или планшет. Поэтому теперь наши системы определяют подобные приложения, а |
| также блокируют их скачивание из Google Play и сторонних источников |
| с помощью <a href="https://support.google.com/accounts/answer/2812853">специальной проверки</a>.</p> |
| |
| <p>Мы предоставили партнерам исправление уязвимости 16 марта 2016 года. |
| Обновления для устройств Nexus будут выпущены в ближайшие дни. Исправления |
| исходного кода загружены в хранилище Android Open Source Project (AOSP).</p> |
| |
| <h3 id="background">История проблемы</h3> |
| |
| <p>Это проблема в ядре Linux была устранена в апреле 2014 года. Однако |
| только 2 февраля 2015 года она была признана уязвимостью в безопасности |
| и ей присвоили идентификатор <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805">CVE-2015-1805</a>. 19 февраля 2016 года |
| команда C0RE Team сообщила Google, что проблема затрагивает и |
| устройства Android. Поэтому мы разработали исправление и включили его |
| в следующее ежемесячное обновление.</p> |
| |
| <p>15 марта 2016 года мы получили информацию от Zimperium о том, что |
| уязвимость была использована на телефоне Nexus 5. Команда Google подтвердила |
| существование общедоступного рутинг-приложения, которое угрожает безопасности |
| устройств Nexus 5 и Nexus 6.</p> |
| |
| <p>Уязвимость позволяет повышать привилегии пользователя и выполнять |
| произвольный код в ядре. Ей присвоен <a href="{@docRoot}security/overview/updates-resources.html#severity">критический уровень</a>, поскольку из-за нее |
| нарушается работа системы безопасности.</p> |
| |
| <h3 id="scope">Устройства</h3> |
| |
| |
| <p>Эта информация относится ко всем устройствам Android с версиями ядра 3.4, 3.10 |
| и 3.14 (в том числе к телефонам и планшетам Nexus), на которых не установлено |
| исправление. На устройствах Android с ядром Linux версии 3.18 или |
| более поздней уязвимость отсутствует.</p> |
| |
| <h3 id="mitigations">Предотвращение атак</h3> |
| |
| |
| <p>Приведенные ниже меры позволяют снизить вероятность атак на Android. </p> |
| |
| <ul> |
| <li> Наши системы блокируют скачивание приложений, использующих |
| уязвимость, из Google Play и сторонних источников. |
| <li> В Google Play запрещены рутинг-приложения, поскольку они угрожают |
| безопасности устройств. |
| <li> На телефонах и планшетах Android с <a href="https://support.google.com/nexus/answer/4457705">ядром Linux версии 3.18 или |
| более поздней</a> уязвимость отсутствует. |
| </li></li></li></ul> |
| |
| <h3 id="acknowledgements">Благодарности</h3> |
| |
| |
| <p>Команда Android благодарит <a href="http://c0reteam.org/">C0RE Team</a> и <a href="https://www.zimperium.com/">Zimperium</a> за помощь в обнаружении |
| уязвимости.</p> |
| |
| <h3 id="suggested_actions">Рекомендуемые действия</h3> |
| |
| |
| <p>Команда Android советует всем пользователям установить обновления, |
| как только они будут доступны.</p> |
| |
| <h3 id="fixes">Исправления</h3> |
| |
| |
| <p>В хранилище AOSP были добавлены исправления для различных версий ядра. |
| |
| Мы сообщили об этом партнерам Android и порекомендовали применить |
| обновления. Если потребуются дополнительные исправления, мы загрузим их |
| напрямую в AOSP.</p> |
| |
| <table> |
| <tr> |
| <th>Версия ядра</th> |
| <th>Исправление</th> |
| </tr> |
| <tr> |
| <td>3.4</td> |
| <td><a href="https://android.googlesource.com/kernel/common/+/f7ebfe91b806501808413c8473a300dff58ddbb5">Исправление в AOSP</a></td> |
| </tr> |
| <tr> |
| <td>3.10</td> |
| <td><a href="https://android.googlesource.com/kernel/common/+/4a5a45669796c5b4617109182e25b321f9f00beb">Исправление в AOSP</a></td> |
| </tr> |
| <tr> |
| <td>3.14</td> |
| <td><a href="https://android.googlesource.com/kernel/common/+/bf010e99c9bc48002f6bfa1ad801a59bf996270f">Исправление в AOSP</a></td> |
| </tr> |
| <tr> |
| <td>3.18+</td> |
| <td>Исправление в общедоступном ядре Linux</td> |
| </tr> |
| </table> |
| |
| |
| <h2 id="common_questions_and_answers">Часто задаваемые вопросы</h2> |
| |
| |
| <p><strong>1. С чем связана проблема?</strong></p> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код |
| в контексте ядра. Ей присвоен критический уровень, поскольку из-за нее |
| нарушается работа системы безопасности. Для устранения проблемы нужно |
| переустановить ОС.</p> |
| |
| <p><strong>2. Каким образом злоумышленники могут воспользоваться уязвимостью?</strong></p> |
| |
| <p>Опасность угрожает устройствам, на которые установлено ПО, использующее |
| эту уязвимость. Наши системы блокируют скачивание рутинг-приложений |
| из Google Play и сторонних источников. Злоумышленнику потребуется убедить |
| пользователя вручную установить вредоносное приложение.</p> |
| |
| <p><strong>3. На каких устройствах присутствует уязвимость?</strong></p> |
| |
| <p>Наша проверка показала, что уязвимостью можно воспользоваться |
| на устройствах Nexus 5 и Nexus 6. Однако она есть на всех телефонах и |
| планшетах Android, где не установлено исправление.</p> |
| |
| <p><strong>4. Вы уверены, что уязвимость была использована?</strong></p> |
| |
| <p>Да, нам точно известно, что это произошло на телефоне Nexus 5 |
| с помощью общедоступного рутинг-приложения. Однако мы не зафиксировали, |
| что из-за уязвимости устройствам был нанесен вред.</p> |
| |
| <p><strong>5. Как вы планируете решить проблему?</strong></p> |
| |
| <p>В <a href="https://static.googleusercontent.com/media/source.android.com/en//security/reports/Android_WhitePaper_Final_02092016.pdf">Google Play</a> запрещены приложения, использующие описанную уязвимость. |
| Функции безопасности Android блокируют установку подобного ПО |
| из сторонних источников. На устройствах Nexus уязвимость будет устранена |
| в следующем обновлении. Как только оно будет готово, мы сообщим об этом |
| партнерам Android, чтобы они могли разработать аналогичные исправления.</p> |
| |
| <p><strong>6. Исправлена ли проблема на моем устройстве?</strong></p> |
| |
| <p>Уязвимость устранена на устройствах Android с обновлениями безопасности |
| от 18 марта или 2 апреля 2016 года. Узнайте, <a href="https://support.google.com/nexus/answer/4457705">как посмотреть дату</a> |
| последнего такого обновления.</p> |
| |
| <h2 id="revisions">Версии</h2> |
| |
| |
| <ul> |
| <li> 18 марта 2016 года. Доклад опубликован. |
| </li></ul> |