Podatności w Samsungach, również te wykorzystywane przez producenta oprogramowania szpiegującego

Sklep z aplikacjami Galaxy Store jest preinstalowany na urządzeniach Samsung z systemem Android i może być używany wraz z Google Play do pobierania i instalowania oprogramowania.

Śledzona jako CVE-2023-21433, pierwsza z luk zidentyfikowanych przez NCC Group, może umożliwić „nieuczciwym aplikacjom” na urządzeniu pobieranie i instalowanie dodatkowego oprogramowania ze sklepu Galaxy bez wiedzy użytkownika.

Problem został opisany jako usterka kontroli dostępu, gdzie sklep zawierał wyeksportowaną aktywność, która nie była w stanie bezpiecznie obsłużyć przychodzących komend. Jak wyjaśnia NCC, błąd dotyczył tylko urządzeń z systemem Android 12 i starszymi.

Druga luka, CVE-2023-21434, została opisana jako problem z nieprawidłowym sprawdzaniem poprawności danych wejściowych, mogący umożliwić lokalnemu atakującemu wykonanie kodu JavaScript poprzez uruchomienie strony internetowej.

„Stwierdzono, że przeglądarka internetowa w sklepie Galaxy App Store zawiera filtr, który ogranicza domenę, do której przeglądarka internetowa może zaglądać. Jednak filtr nie został odpowiednio skonfigurowany, co pozwoliłoby przeglądarce trafić na domenę kontrolowaną przez atakującego” — wyjaśnia NCC Group.

Lukę można wykorzystać, dotykając złośliwego adresu URL w przeglądarce Chrome lub wstępnie zainstalowanej nieuczciwej aplikacji, która obejdzie istniejące filtrowanie adresów URL. Kod weryfikacji koncepcji (PoC) dla obu tych luk można zobaczyć tutaj.

Wady bezpieczeństwa zgłoszono firmie Samsung w listopadzie i grudniu 2022 roku. Oba problemy zostały rozwiązane w Galaxy Store w wersji 4.5.49.8.

Właścicielom urządzeń Samsung z systemem Android 12 lub starszym zaleca się jak najszybszą aktualizację do najnowszej wersji Galaxy Store.

Ale to nie wszystko. Korzystając z okazji, wspomnimy o ciekawych podatnościach z 2021 roku, które w listopadzie 2022 roku ujawnił Google Project Zero. Były to szczegóły trzech luk w zabezpieczeniach telefonów Samsung, wykorzystywane przez dostawcę oprogramowania szpiegującego od czasu, gdy nadal miały status zero-day.

Luki śledzone jako CVE-2021-25337, CVE-2021-25369 i CVE-2021-25370 zostały połączone i wykorzystane na telefonach z Androidem, a wpływały na niestandardowe komponenty Samsunga. Zostały opisane jako problem z odczytem/zapisem dowolnego pliku przez niestandardowego dostawcę zawartości schowka, wyciek informacji o jądrze i użycie po zwolnieniu w sterowniku procesora wyświetlacza.

„Wszystkie trzy luki w tym łańcuchu były raczej w niestandardowych komponentach producenta niż w platformie AOSP lub jądrze Linuksa. Warto również zauważyć, że 2 z 3 luk były lukami w logice i projekcie, a nie w bezpieczeństwie pamięci” – wyjaśniła Maddie Stone z Google Project Zero.

Badacze Google nie zidentyfikowali aplikacji użytej do dostarczenia exploita ani ostatecznego ładunku wdrożonego przez atakującego. Ustalili jednak, że luki zostały wykorzystane do zapisania złośliwego pliku na docelowym urządzeniu, obejścia mechanizmów bezpieczeństwa i uzyskania dostępu do odczytu i zapisu jądra.

Google zgłosiło luki Samsungowi pod koniec 2020 roku, kiedy znalazło próbki exploitów. Gigant technologiczny wypuścił łatki w marcu 2021 r.

Według Google wersje jądra będące celem exploita działały na smartfonach Samsung S10, A50 i A51 pod koniec 2020 roku.

Grupa analizy zagrożeń Google uważa, że exploit został opracowany przez komercyjnego dostawcę usług nadzoru. Chociaż dostawca ten nie został nazwany, Google zauważyło, że metoda zastosowana do wstępnego wykonania kodu za pośrednictwem aplikacji jest podobna do innych kampanii, w tym jednej skierowanej na smartfony Apple i Android we Włoszech i Kazachstanie, która została powiązana z włoską firmą RCS Lab.