Secondo la legge i ricercatori a fine di incolumità del Google Project Niente le modifiche al kernel Linux eseguite dai produttori a fine di device suppellettile potrebbero distendere a azzardo la incolumità a fine di Android.
A fruttare caratteristica questa problematica è il ricercatore a fine di incolumità Jann Horn percorso un articolo generale sul blog consentito del proponimento:
Su Android è estremamente triviale i vendor aggiungano patch al kernel Linux servono di il funzionamento dei propri device. Con tutto ciò né a fine di sparso questo regolamento aggiuntivo espone il costituzione operativo a diverse vulnerabilità. Improvvisamente causa il team a fine di Android ha cercato a fine di ridurre in pezzi l’collisione a fine di tali patch andando proibire i processi verso impulso improvviso chiaro ai driver del apparato. Proprio così i moderni smartphone Android accedono alle risorse del device percorso l’Hardware Abstraction Layer.
Ritengo le modifiche [dei vari vendor] debbano esserci incluse in che modo userspace driver e né a quota del kernel. A causa di questa punto di partenza è ammissibile implementare determiniate feature percorso un lingua a fine di quadrato ovvero con una sandbox. Durante questo tenore il produttore può oltre a questo ragguagliare il device alla adattamento del kernel Linux per di più giovane senza difficoltà accingersi troppi problemi.
Google Project Niente è il personalità a fine di un team dell’fabbrica a fine di Mountain View misura per analisti a fine di incolumità informatica si occupano dell’individuazione a fine di vulnerabilità zero-day. Durante questi ultimi mesi Jann Horn si è intento della amministrazione a fine di un memory corruption bug a viso scoperto all’casalingo delle build del kernel Linux realizzate per Samsung di egli smartphone Galaxy A50 (A505FN).
Questa criticità, è stata risolta percorso il rilascio a fine di un patch correttiva distribuita con questi giorni, riguardava il security subsystem PROCA (Process Authenticator) ideato dall’fabbrica coreana. Il bug, etichettato in che modo SVE-2019-16132, avrebbe concesso ad un malintenzionato a fine di interpretare con tenore irregolare del regolamento verso i privilegi a fine di root.
Il costituzione PROCA è pensato di impedire le azioni degli utenti hanno ottenuto illegittimamente i poteri a fine di interpretazione/redazione sul kernel. Con tutto ciò stando a Horn questa “custom feature” potrebbe manifestarsi inane ammesso il kernel Linux dispone a fine di svariati strumenti pensati di inibire a lei utenti accedano alle risorse senza difficoltà permissione.
Altrove Zdnet