Бюллетень по безопасности Android

Опубликовано 6 июня 2016 г. | Обновлено 8 июня 2016 г.

В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков. Перечисленные проблемы устранены в исправлении от 1 июня 2016 года или более новом. О том, как узнать дату последнего обновления системы безопасности, рассказывается в документации Nexus.

Мы сообщили партнерам об уязвимостях 2 мая 2016 года или ранее. Исправления проблем загружены в хранилище Android Open Source Project (AOSP).

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).

Обнаруженные уязвимости не эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android.

Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.

Перечень уязвимостей

В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности, а также указано, затрагивает ли проблема устройства Nexus. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Уязвимость	CVE	Уровень серьезности	Затрагивает устройства Nexus?
Удаленное выполнение кода через mediaserver	CVE-2016-2463	Критический	Да
Удаленное выполнение кода через libwebm	CVE-2016-2464	Критический	Да
Повышение привилегий через видеодрайвер Qualcomm	CVE-2016-2465	Критический	Да
Повышение привилегий через аудиодрайвер Qualcomm	CVE-2016-2466 CVE-2016-2467	Критический	Да
Повышение привилегий через драйвер Qualcomm для графического процессора	CVE-2016-2468 CVE-2016-2062	Критический	Да
Повышение привилегий через Wi-Fi-драйвер Qualcomm	CVE-2016-2474	Критический	Да
Повышение привилегий через Wi-Fi-драйвер Broadcom	CVE-2016-2475	Высокий	Да
Повышение привилегий через аудиодрайвер Qualcomm	CVE-2016-2066 CVE-2016-2469	Высокий	Да
Повышение привилегий через mediaserver	CVE-2016-2476 CVE-2016-2477 CVE-2016-2478 CVE-2016-2479 CVE-2016-2480 CVE-2016-2481 CVE-2016-2482 CVE-2016-2483 CVE-2016-2484 CVE-2016-2485 CVE-2016-2486 CVE-2016-2487	Высокий	Да
Повышение привилегий через драйвер Qualcomm для камеры	CVE-2016-2061 CVE-2016-2488	Высокий	Да
Повышение привилегий через видеодрайвер Qualcomm	CVE-2016-2489	Высокий	Да
Повышение привилегий через драйвер NVIDIA для камеры	CVE-2016-2490 CVE-2016-2491	Высокий	Да
Повышение привилегий через Wi-Fi-драйвер Qualcomm	CVE-2016-2470 CVE-2016-2471 CVE-2016-2472 CVE-2016-2473	Высокий	Да
Повышение привилегий через драйвер управления питанием MediaTek	CVE-2016-2492	Высокий	Да
Повышение привилегий через уровень эмуляции SD-карты	CVE-2016-2494	Высокий	Да
Повышение привилегий через Wi-Fi-драйвер Broadcom	CVE-2016-2493	Высокий	Да
Удаленный отказ в обслуживании в mediaserver	CVE-2016-2495	Высокий	Да
Повышение привилегий через интерфейс Framework	CVE-2016-2496	Средний	Да
Раскрытие информации через Wi-Fi-драйвер Qualcomm	CVE-2016-2498	Средний	Да
Раскрытие информации через mediaserver	CVE-2016-2499	Средний	Да
Раскрытие информации через диспетчер активности	CVE-2016-2500	Средний	Да

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Проверка приложений включена по умолчанию на всех устройствах с мобильными сервисами Google. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

Ди Шэнь (@returnsme) из KeenLab (@keen_lab), Tencent: CVE-2016-2468
Гэл Бениамини (@laginimaineb): CVE-2016-2476
Гэнцзя Чэнь (@chengjia4574) и pjf (weibo.com/jfpan) из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
Хао Чэнь, Гуан Гун и Вэньлинь Ян из Mobile Safe Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016-2498
Иво Банаш: CVE-2016-2496
Цзяньцян Чжао (@jianqiangzhao) и pjf (weibo.com/jfpan) из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
Ли Кэмпбелл из Google: CVE-2016-2500
Мачей Шавловски из команды безопасности Google: CVE-2016-2474
Марко Нелиссен и Макс Спектор из Google: CVE-2016-2487
Марк Бренд из Google Project Zero: CVE-2016-2494
Минцзянь Чжоу (@Mingjian_Zhou), Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481, CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
Скотт Бауэр (@ScottyBauer1): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
Василий Васильев: CVE-2016-2463
Вэйчао Сунь (@sunblate) из Alibaba Inc.: CVE-2016-2495
Силин Гун из отдела безопасности платформы Tencent: CVE-2016-2499
Зак Риггл (@ebeip90) из команды безопасности Android: CVE-2016-2493

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех перечисленных выше уязвимостях: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку Android, уровнем серьезности, уязвимыми устройствами Nexus и версиями AOSP (при наличии) и датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на сообщение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через mediaserver

Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2016-2463	27855419	Критический	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	25 марта 2016 г.

Удаленное выполнение кода через libwebm

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2016-2464	23167726 [2]	Критический	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	Доступно только сотрудникам Google

Повышение привилегий через видеодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Дата сообщения об ошибке
CVE-2016-2465	27407865*	Критический	Nexus 5, Nexus 5X, Nexus 6, Nexus 6P	21 февраля 2016 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через аудиодрайвер Qualcomm

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Дата сообщения об ошибке
CVE-2016-2466	27947307*	Критический	Nexus 6	27 февраля 2016 г.
CVE-2016-2467	28029010*	Критический	Nexus 5	13 марта 2014 г.

Повышение привилегий через драйвер Qualcomm для графического процессора

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Дата сообщения об ошибке
CVE-2016-2468	27475454*	Критический	Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7	2 марта 2016 г.
CVE-2016-2062	27364029*	Критический	Nexus 5X, Nexus 6P	6 марта 2016 г.

Повышение привилегий через Wi-Fi-драйвер Qualcomm

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Дата сообщения об ошибке
CVE-2016-2474	27424603*	Критический	Nexus 5X	Доступно только сотрудникам Google

Повышение привилегий через Wi-Fi-драйвер Broadcom

Уязвимость позволяет локальному вредоносному ПО выполнять несанкционированные системные вызовы для изменения настроек и работы устройства. Проблеме присвоен высокий уровень серьезности, поскольку она позволяет получить дополнительные привилегии на устройстве.

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Дата сообщения об ошибке
CVE-2016-2475	26425765*	Высокий	Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C	6 января 2016 г.

Повышение привилегий через аудиодрайвер Qualcomm

Уязвимость позволяет вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Дата сообщения об ошибке
CVE-2016-2066	26876409*	Высокий	Nexus 5, Nexus 5X, Nexus 6, Nexus 6P	29 января 2016 г.
CVE-2016-2469	27531992*	Высокий	Nexus 5, Nexus 6, Nexus 6P	4 марта 2016 г.

Повышение привилегий через mediaserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2016-2476	27207275 [2] [3] [4]	Высокий	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	11 февраля 2016 г.
CVE-2016-2477	27251096	Высокий	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	17 февраля 2016 г.
CVE-2016-2478	27475409	Высокий	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	3 марта 2016 г.
CVE-2016-2479	27532282	Высокий	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	6 марта 2016 г.
CVE-2016-2480	27532721	Высокий	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	6 марта 2016 г.
CVE-2016-2481	27532497	Высокий	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	6 марта 2016 г.
CVE-2016-2482	27661749	Высокий	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	14 марта 2016 г.
CVE-2016-2483	27662502	Высокий	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	14 марта 2016 г.
CVE-2016-2484	27793163	Высокий	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	22 марта 2016 г.
CVE-2016-2485	27793367	Высокий	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	22 марта 2016 г.
CVE-2016-2486	27793371	Высокий	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	22 марта 2016 г.
CVE-2016-2487	27833616 [2] [3]	Высокий	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	Доступно только сотрудникам Google

Повышение привилегий через драйвер Qualcomm для камеры

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Дата сообщения об ошибке
CVE-2016-2061	27207747*	Высокий	Nexus 5X, Nexus 6P	15 февраля 2016 г.
CVE-2016-2488	27600832*	Высокий	Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013)	Доступно только сотрудникам Google

Повышение привилегий через видеодрайвер Qualcomm

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Дата сообщения об ошибке
CVE-2016-2489	27407629*	Высокий	Nexus 5, Nexus 5X, Nexus 6, Nexus 6P	21 февраля 2016 г.

Повышение привилегий через драйвер NVIDIA для камеры

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Дата сообщения об ошибке
CVE-2016-2490	27533373*	Высокий	Nexus 9	6 марта 2016 г.
CVE-2016-2491	27556408*	Высокий	Nexus 9	8 марта 2016 г.

Повышение привилегий через Wi-Fi-драйвер Qualcomm

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Дата сообщения об ошибке
CVE-2016-2470	27662174*	Высокий	Nexus 7 (2013)	13 марта 2016 г.
CVE-2016-2471	27773913*	Высокий	Nexus 7 (2013)	19 марта 2016 г.
CVE-2016-2472	27776888*	Высокий	Nexus 7 (2013)	20 марта 2016 г.
CVE-2016-2473	27777501*	Высокий	Nexus 7 (2013)	20 марта 2016 г.

Повышение привилегий через драйвер управления питанием MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту устройства и получить получить root-права для вызова драйвера.

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Дата сообщения об ошибке
CVE-2016-2492	28085410*	Высокий	Android One	7 апреля 2016 г.

Повышение привилегий через уровень эмуляции SD-карты

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2016-2494	28085658	Высокий	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	7 апреля 2016 г.

Повышение привилегий через Wi-Fi-драйвер Broadcom

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Дата сообщения об ошибке
CVE-2016-2493	26571522*	Высокий	Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C	Доступно только сотрудникам Google

Удаленный отказ в обслуживании в mediaserver

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2016-2495	28076789 [2]	Высокий	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	6 апреля 2016 г.

Повышение привилегий через интерфейс Framework

Уязвимость обнаружена в окне предоставления доступа из интерфейса Framework. Она позволяет получить неавторизованный доступ к файлам в личном хранилище. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно получить разрешения уровня dangerous (опасные).

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2016-2496	26677796 [2] [3]	Средний	Все устройства	6.0, 6.1	26 мая 2015 г.

Раскрытие информации через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер.

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Дата сообщения об ошибке
CVE-2016-2498	27777162*	Средний	Nexus 7 (2013)	20 марта 2016 г.

Раскрытие информации через mediaserver

Уязвимость позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2016-2499	27855172	Средний	Все устройства	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	24 марта 2016 г.

Раскрытие информации через диспетчер активности

Уязвимость в компоненте диспетчера активности позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.

CVE	Ошибки Android	Уровень серьезности	Обновленные устройства Nexus	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2016-2500	19285814	Средний	Все устройства	5.0.2, 5.1.1, 6.0, 6.0.1	Доступно только сотрудникам Google

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Перечисленные проблемы устранены в исправлении от 1 июня 2016 года или более новом. О том, как узнать дату последнего обновления системы безопасности, рассказывается в документации Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-06-01].

2. Как определить, на каких устройствах Nexus присутствует уязвимость?

В каждой таблице из раздела Описание уязвимостей есть столбец "Обновленные устройства Nexus". В нем указано, на каких устройствах присутствует уязвимость.

Все устройства. Проблема возникает на следующих поддерживаемых устройствах Nexus: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player и Pixel C.
Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
Нет. Проблема не возникает ни на одном устройстве Nexus.

Версии

6 июня 2016 года. Бюллетень опубликован.
7 июня 2016 года.
- Добавлены ссылки на AOSP.
- Информация об уязвимости CVE-2016-2496 удалена из бюллетеня.
8 июня 2016 года. Информация об уязвимости CVE-2016-2496 снова добавлена в бюллетень.