En massa nya Android-telefoner, inklusive allmänt använda Samsung Galaxy- och Google Pixel-modeller, är utsatta för en allvarlig Android-säkerhetsfel, Har Googles Project Zero avslöjat. Felet kan påverka de flesta Android-telefoner före 2019.

I ett blogginlägg på torsdagen (okt. 3), Project Zero forskare sa att de har upptäckt en aktivt utnyttjad noll-dags sårbarhet som ger skadliga hackare root-tillgång till en riktad Android telefon.

Enligt rapporten kan hackare kapa telefoner genom att få användare att installera en skadlig app eller genom kombinerar det med en annan sårbarhet i Chrome-webbläsaren som gör innehåll och levererar nyttolast.

A nolldagars sårbarhet är en som släpps innan programutvecklare kan förbereda en fix, vilket ger användarna inget omedelbart skydd.

Aktiv attack

Enligt Project Zero finns det bevis för att exploateringen "påstås användas eller säljas av" NSO Group, ett israeliskt företag som specialiserat sig på att sälja spionprogram till underrättelsetjänst och brottsbekämpning byråer. NSO-gruppen förnekade det i ett e-postmeddelande till Ars Technica.

Project Zero-forskarna testade utnyttjandet och bevisade att det fungerar på Google Pixel 1 och Pixel 2-telefonerna, men fungerar inte på Pixel 3 eller 3a.

Efter att ha undersökt källkoden för Android-byggnader som används av olika nya modeller, forskarna bestämde att exploateringen också skulle fungera på många andra telefoner som släpptes före hösten 2018, inklusive Samsungs Galaxy S7, Galaxy S8och Galaxy S9 modeller, liksom Huawei P20, Motorola Moto Z3, Oppo A3 och Xiaomi A1, Redmi 5A och Redmi Note 5.

I Project Zero-blogginlägget listas också "Oreo LG-telefoner", vilket kan betyda det senaste LG-telefoner som kör Android 8 Oreo är sårbara. Forskarna noterade att deras lista inte alls är "uttömmande" och att bristen sannolikt påverkar många fler Android-telefoner.

De flesta Android-telefoner före 2019 kan påverkas

Den underliggande felet finns i Linux-kärnan och lappades med kärnversion 4.14 i slutet av 2017, vilket gjorde sin väg in i de officiella Android-byggnaderna i början av 2018 och därifrån till Android-enheter som släpptes senare år.

Men fixen sköts aldrig ut till äldre telefoner som en del av de officiella Android-månatliga säkerhetsuppdateringarna, inklusive till och med vissa modeller som släpptes senare 2018, till exempel Galaxy S9 och Moto Z3. Underförstått är alla enheter som släpptes före hösten 2018 troligtvis sårbara.

Även om Project Zero-forskare kallade hotar en "hög svårighetsgrad" oro, tillade de att processen inte nödvändigtvis är enkel för hackare. Du måste installera en app eller bli riktad av två olika exploateringar, även om det inte finns någon brist på skadliga Android-appar även i Google Play-butiken.

"Den här frågan bedöms som hög svårighetsgrad på Android och kräver i sig själv installation av en skadlig applikation för potentiell exploatering", säger Project Zero-forskaren Tim Willis. "Alla andra vektorer, till exempel via webbläsare, kräver kedjning med ytterligare en exploatering."

I Android-ekosystemet kan det faktiskt vara svårt att få uppdateringar till din telefon, särskilt en äldre telefon. Google kommer att korrigera sårbarheten i sin förestående Android-säkerhetsuppdatering i oktober för alla sina Pixel-telefoner, men det finns ingen garanti för att andra berörda enheter får en snabb fix eller någon fix på Allt.

Om du har en Android-telefon släppt före 2019, var noga med att inte ladda ner appar från okända eller opålitliga källor. Om du råkar använda Chrome på en påverkad enhet, överväg att använda en annan webbläsare. Och överväg att köra antivirusprogram på din telefon - här är vår lista över de bästa Android-antivirusapparna.

  • Enorm Android-säkerhetsfel avslöjad: Vad ska man göra nu
  • Överraskning! iOS-appar lika dåliga som Android vid säkerhet (rapport)
  • Två tredjedelar av Android Antivirus-appar är totalt BS

Få omedelbar tillgång till senaste nyheterna, de hetaste recensionerna, bra erbjudanden och hjälpsamma tips.

Tack för att du registrerade dig i Toms guide. Du kommer att få ett verifieringsmeddelande inom kort.

Det var ett problem. Uppdatera sidan och försök igen.

Ingen skräppost, vi lovar. Du kan när som helst avsluta prenumerationen så kommer vi aldrig att dela dina uppgifter utan ditt tillstånd.