Společnost Zimperium zveřejnila 2 exploity na Android (N-Days Exploit Acquisition Program)

Zimperium je soukromá bezpečnostní společnost se sídlem v San Franciscu. Zabývá se převážně ochranou mobilních zařízení proti pokročilým útokům. Nabízí kompletní mobilní bezpečnostní systém proti novým hrozbám. V rámci programu "N-Days EAP" dnes zveřejnila první 2 exploity zaměřené na Android 6.0 a nižší.

Vznik programu "Exploit Acquisition Program for N-Days" byl oznámen 31. ledna 2017 na oficiálním blogu. Společnost Zimperium vyčlenila 1,5 milionů dolarů (cca 37 milionů Kč) na nákup N-Days exploitů.

"N-Day" je exploit na již známou a opravenou bezpečnostní chybu. Cílem "N-Days EAP" je vyvynout větší tlak na výrobce mobilních zařízení a přinutit je k pravidelnému vydávání bezpečnostních aktualizací.

K tomuto účelu byla vytvořena Zimperium Handset Alliance (ZHA), která se skládá z více než 30 největších výrobců a prodejců mobilních zařízení (členy jsou například Samsung, Blackberry, ...). Po nákupu "N-Day" exploitu dostanou členové ZHA upozornění a budou vyzváni k vydání update. Samotný exploit pak bude zveřejněn v rozmezí od jednoho do tří měsíců.

Dnes byly zveřejněny první dva exploity: Nvidia bug (CVE-2016-2435) postihující Android 6.0 na zařízení Nexus 9 a MSM Thermal Driver bug (CVE-2016-2411) postihující Android 6.x. Obě chyby se vztahují na zařízení z období před únorem 2016.

V rámci programu jsou chyby označeny jako "NDAY-2017-0102" a "NDAY-2017-0105". Podle společnosti Zimperium jsou obě varianty sloužící k získání root oprávnění veřejně známé a z větší části již opravené. Zveřejnění technických podrobností je ale velmi důležité a pomůže zrychlit dobu, během které bude bezpečnostní update vydán na všechna zařízení.

Podle dostupných informací budou podobné exploity zveřejňovány každý měsíc. Týkat by se měly zejména novějších verzí, minimální hranice pro nákup N-Day exploitu je iOS 8 a Android 4.0.

Více informací zde:

https://blog.zimperium.com/zimperium-announces-its-exploit-acquisition-program-for-n-days/

https://blog.zimperium.com/nday-2017-0102-elevation-of-privilege-vulnerability-in-nvidia-video-driver/

https://blog.zimperium.com/nday-2017-0105-elevation-of-privilege-vulnerability-in-msm-thermal-driver/

https://threatpost.com/zimperium-acquisition-program-publishes-exploits-for-patched-android-bugs/125190/

http://www.zdnet.com/article/nvidia-android-driver-n-day-security-flaws-revealed/
Společnost Zimperium zveřejnila 2 exploity na Android (N-Days Exploit Acquisition Program) Společnost Zimperium zveřejnila 2 exploity na Android (N-Days Exploit Acquisition Program) Reviewed by Kamil Vavra on dubna 25, 2017 Rating: 5

Žádné komentáře:

Používá technologii služby Blogger.