На прошлой неделе, на конференции Usenix Security Symposium был представлен доклад об уязвимости CVE-2016-5696, обнаруженной в имплементации Transmission Control Protocol (TCP) во всех системах Linux, выпущенных после 2012 года (Linux kernel 3.6 и выше). Теперь исследователи компании Lookout предупредили, что данная уязвимость представляет опасность для 80% всех Android-устройств в мире.
Хотя разработчики Linux Foundation уже исправили обнаруженную проблему в ядре Linux (баг устранен в ядре версии 4.7, вышедшей в июле 2016 года), это не слишком поможет полутора миллиардам устройств на базе Android ОС, в сердце которой тоже лежит модифицированная версия ядра Linux.
Напомню, что перед CVE-2016-5696 уязвимы все дистрибутивы Linux, построенные на базе ядра старше версии с v3.6 и вплоть до v4.7. Сама уязвимость позволяет внедряться в чужой незашифрованный трафик, и для этого достаточно просто знать IP-адреса обеих сторон TCP-соединения и направлять им правильные пакеты, чтобы скомпрометировать легитимный обмен данными. Эксплуатируя брешь, можно отслеживать активность пользователей, а также внедрять в незащищенное соединение практически любые посторонние данные. Также атака на CVE-2016-5696 позволяет спровоцировать обрыв защищенного соединения, что исследователи успешно продемонстрировали как на примере HTTPS, так и на примере Tor. Для пользователей Tor атака вообще может быть чревата деанонимизацией, если, злоумышленник вынудит жертву (провоцируя обрывы связи) подключиться к нужному, скомпрометированному узлу.
Специалисты компании Lookout отмечают, что версия ядра 3.6, выпущенная в 2012 году, лежит в основе Android OS 4.4 (KitKat). Более поздние версии операционной системы также уязвимы перед CVE-2016-5696. Исследователи отмечают, что даже новейшая Android Nougat пока не содержит патчей для данной проблемы и работает с уязвимой версией ядра. По данным экспертов, уязвимая версия ядра Linux работает на 79,9% всех Android-устройств в мире.
Очевидно, патча можно ожидать не раньше, чем выйдет следующее ежемесячное обновление для Android (а подобные обновления актуальны лишь для малой части пользователей). Эксперты советуют не рисковать и не дожидаться этого момента. Хотя эксплоит для данной уязвимости не был опубликован, специалисты Lookout все равно рекомендуют пользователям шифровать весь свой трафик или использовать VPN.
«Если у вас рутованое Android-устройство, вы можете максимально усложнить задачу атакующим и, использовав sysctl, изменить значение net.ipv4.tcp_challenge_ack_limit на очень большое, к примеру: net.ipv4.tcp_challenge_ack_limit = 999999999», — советуют эксперты.
