На прошлой неделе, на конференции Usenix Security Symposium был представлен доклад об уязвимости CVE-2016-5696, обнаруженной в имплементации Transmission Control Protocol (TCP) во всех системах Linux, выпущенных после 2012 года (Linux kernel 3.6 и выше). Теперь исследователи компании Lookout предупредили, что данная уязвимость представляет опасность для 80% всех Android-устройств в мире.

Хотя разработчики Linux Foundation уже исправили обнаруженную проблему в ядре Linux (баг устранен в ядре версии 4.7, вышедшей в июле 2016 года), это не слишком поможет полутора миллиардам устройств на базе Android ОС, в сердце которой тоже лежит модифицированная версия ядра Linux.

Напомню, что перед CVE-2016-5696 уязвимы все дистрибутивы Linux, построенные на базе ядра старше версии с v3.6 и вплоть до v4.7. Сама уязвимость позволяет внедряться в чужой незашифрованный трафик, и для этого достаточно просто знать IP-адреса обеих сторон TCP-соединения и направлять им правильные пакеты, чтобы скомпрометировать легитимный обмен данными. Эксплуатируя брешь, можно отслеживать активность пользователей, а также внедрять в незащищенное соединение практически любые посторонние данные. Также атака на CVE-2016-5696 позволяет спровоцировать обрыв защищенного соединения, что исследователи успешно продемонстрировали как на примере HTTPS, так и на примере Tor. Для пользователей Tor атака вообще может быть чревата деанонимизацией, если, злоумышленник вынудит жертву (провоцируя обрывы связи) подключиться к нужному, скомпрометированному узлу.

Специалисты компании Lookout отмечают, что версия ядра 3.6, выпущенная в 2012 году, лежит в основе Android OS 4.4 (KitKat). Более поздние версии операционной системы также уязвимы перед CVE-2016-5696. Исследователи отмечают, что даже новейшая Android Nougat пока не содержит патчей для данной проблемы и работает с уязвимой версией ядра. По данным экспертов, уязвимая версия ядра Linux работает на 79,9% всех Android-устройств в мире.

Очевидно, патча можно ожидать не раньше, чем выйдет следующее ежемесячное обновление для Android (а подобные обновления актуальны лишь для малой части пользователей). Эксперты советуют не рисковать и не дожидаться этого момента. Хотя эксплоит для данной уязвимости не был опубликован, специалисты Lookout все равно рекомендуют пользователям шифровать весь свой трафик или использовать VPN.

«Если у вас рутованое Android-устройство, вы можете максимально усложнить задачу атакующим и, использовав sysctl, изменить значение net.ipv4.tcp_challenge_ack_limit на очень большое, к примеру: net.ipv4.tcp_challenge_ack_limit = 999999999», — советуют эксперты.

1 комментарий

  1. Аватар

    ShadowHD

    16.08.2016 at 23:59

    А почему набор девяток, для простоты читающим? Не лучше просто поставить 32-х битное значение MaxInt-1, это будет больше чем в 4 раза больше..

Оставить мнение