Überwachungsanbieter nutzte Zero-Day-Sicherheitsanfälligkeit in Samsung-Handy aus

Das Project Zero-Team von Google hat enthüllt, dass ein kommerzieller Überwachungsanbieter drei Zero-Day-Sicherheitsanfälligkeiten in neueren Samsung-Smartphone-Modellen ausnutzte, um Menschen auszuspionieren und Benutzerdaten zu stehlen.

Die drei von Googles Threat Analysis Group (TAG) offengelegten Sicherheitsanfälligkeiten in Samsung-Handys sind CVE-2021-25337, CVE-2021-25369 und CVE-2021-25370.

Als Google Ende der 2020er Jahre Exploit-Proben fand, meldete es diese Sicherheitsanfälligkeiten sofort an Samsung, die alle seitdem von dem Unternehmen im März 2021 gepatcht wurden.

Darüber hinaus wurden die Sicherheitsanfälligkeiten, die in der maßgeschneiderten Software von Samsung für die Geräte entdeckt wurden, alle zusammen als Teil einer Exploit-Kette verwendet, um Samsung-Handys mit Android anzugreifen.

Die verketteten Sicherheitsanfälligkeiten würden es dem Angreifer ermöglichen, Kernel-Lese- und Schreibrechte als Root-Benutzer zu erhalten, was letztendlich persönliche Daten auf dem Gerät offenlegen könnte.

Zusätzlich zielte die Exploit-Kette auf Samsung-Handys ab, die den Kernel 4.14.113 mit dem Exynos SOC verwenden. Laut Google waren die Modelle, die Ende der 2020er Jahre betroffen waren, Samsungs Galaxy S10, Galaxy A50 und Galaxy A51, die den Kernel 4.14.113 verwendeten.

Samsung-Handys mit Exynos SOC werden hauptsächlich in Europa und Afrika verkauft, wo sich wahrscheinlich die Ziele der Überwachung befanden. Die Exploit-Probe basiert sowohl auf dem Mali-GPU-Treiber als auch auf dem DPU-Treiber, die spezifisch für die Exynos-Samsung-Handys sind.

Die drei Zero-Day-Sicherheitsanfälligkeiten, die vom TAG-Team von Google entdeckt wurden, sind:

• CVE-2021-25337 – Willkürliche Datei-Lese-/Schreibanfälligkeit über ungeschützten Clipboard-Inhalt: Eine unsachgemäße Zugriffskontrolle im Clipboard-Dienst auf Samsung-Mobilgeräten ermöglicht es nicht vertrauenswürdigen Anwendungen, bestimmte lokale Dateien zu lesen oder zu schreiben.

• CVE-2021-25369 – Potenzielle Offenlegung von Kernelinformationen aus sec_log: Eine unsachgemäße Zugriffskontrollanfälligkeit in der sec_log-Datei offenbart sensible Kernelinformationen für den Benutzerspeicher.

• CVE-2021-25370 – Speicherbeschädigung im Display Processing Unit (DPU)-Treiber: Eine fehlerhafte Implementierung bei der Handhabung von Dateideskriptoren im DPU-Treiber führt zu Speicherbeschädigung, die zu einem Kernel-Panik führt.

Berichten zufolge wurden die Schwachstellen von einer bösartigen Android-App ausgenutzt, die wahrscheinlich sideloaded wurde und die Benutzer dazu brachte, sie außerhalb des Google Play Stores zu installieren. Die bösartige App ermöglichte es dem Angreifer, die App-Sandbox zu verlassen und auf den Rest des Betriebssystems des Geräts zuzugreifen. Es ist jedoch noch nicht bekannt, was die endgültige Payload tatsächlich war.

„Die erste Sicherheitsanfälligkeit in dieser Kette, die willkürliche Datei-Lese- und Schreibanfälligkeit, war die Grundlage dieser Kette, die viermal verwendet wurde und mindestens einmal in jedem Schritt verwendet wurde“, schrieb Maddie Stone, eine Sicherheitsforscherin von Google Project Zero, in einem Blogbeitrag, der die Bedrohung beschreibt.

„Die Java-Komponenten in Android-Geräten sind trotz ihrer Ausführung auf einem so privilegierten Niveau nicht die beliebtesten Ziele für Sicherheitsforscher.“

Stone fügte hinzu: „Alle drei Sicherheitsanfälligkeiten in dieser Kette befanden sich in den benutzerdefinierten Komponenten des Herstellers und nicht in der AOSP-Plattform oder im Linux-Kernel. Es ist auch interessant zu bemerken, dass 2 von 3 Sicherheitsanfälligkeiten logische und Design-Sicherheitsanfälligkeiten waren und nicht Sicherheitsanfälligkeiten in Bezug auf den Speicher.“

Die oben genannten Sicherheitsanfälligkeiten wurden von dem kommerziellen Überwachungsanbieter verkettet, um die Samsung-Handys zu kompromittieren.

Während Google den Namen des Überwachungsanbieters nicht bekannt gegeben hat, hob der Technologieriese die Ähnlichkeiten mit anderen Kampagnen hervor, die Apple- und Android-Nutzer in Italien und Kasachstan ins Visier nahmen, die mit dem italienischen Unternehmen RCS Lab in Verbindung gebracht wurden.

Stone stellte fest, dass die zu diesem Zeitpunkt von Samsung veröffentlichten Hinweise nicht erwähnten, dass die Sicherheitsanfälligkeiten aktiv ausgenutzt wurden, aber das Unternehmen hat sich seitdem verpflichtet, zu beginnen, wenn Sicherheitsanfälligkeiten aktiv ausgenutzt werden, und folgt damit den Fußstapfen von Apple und Google, die Sicherheitsanfälligkeiten, die angegriffen werden, in ihren Sicherheitsupdates offenlegen.

„Es ist wichtig, zu kennzeichnen, wann Sicherheitsanfälligkeiten bekannt sind, die in der Wildnis ausgenutzt werden, sowohl für gezielte Benutzer als auch für die Sicherheitsindustrie. Wenn in der Wildnis befindliche 0-Days nicht transparent offengelegt werden, können wir diese Informationen nicht nutzen, um Benutzer weiter zu schützen, indem wir Patch-Analysen und Variantenanalysen verwenden, um ein Verständnis dafür zu gewinnen, was Angreifer bereits wissen“, schließt der Blogbeitrag.

„Die Analyse dieser Exploit-Kette hat uns neue und wichtige Einblicke gegeben, wie Angreifer Android-Geräte ins Visier nehmen. Sie hebt den Bedarf an mehr Forschung zu herstellerspezifischen Komponenten hervor. Sie zeigt, wo wir weitere Variantenanalysen durchführen sollten.