El proveedor de vigilancia explotó vulnerabilidades de día cero en teléfonos Samsung

El equipo de Project Zero de Google reveló que un proveedor de vigilancia comercial estaba explotando tres vulnerabilidades de seguridad de día cero en modelos más nuevos de teléfonos inteligentes Samsung para espiar a las personas y robar datos de usuarios.

Las tres vulnerabilidades de teléfonos Samsung divulgadas por el Grupo de Análisis de Amenazas (TAG) de Google son CVE-2021-25337, CVE-2021-25369 y CVE-2021-25370.

Cuando Google encontró muestras de explotación a finales de la década de 2020, informó inmediatamente estas vulnerabilidades a Samsung, que han sido parcheadas desde entonces por la compañía en su lanzamiento de marzo de 2021.

Además, las vulnerabilidades, descubiertas en el software personalizado de Samsung de los dispositivos, se utilizaron juntas como parte de una cadena de explotación para atacar teléfonos Samsung que ejecutan Android.

Las vulnerabilidades encadenadas permitirían al atacante obtener privilegios de lectura y escritura del kernel como usuario root, lo que podría eventualmente revelar datos personales en el dispositivo.

Además, la cadena de explotación apuntó a teléfonos Samsung que ejecutan el kernel 4.14.113 con el SOC Exynos. Según Google, los modelos que se vieron afectados a finales de la década de 2020 fueron el Galaxy S10, Galaxy A50 y Galaxy A51 de Samsung, que ejecutaban el kernel 4.14.113.

Los teléfonos Samsung con SOC Exynos se venden principalmente en Europa y África, que probablemente fueron donde se encontraban los objetivos de la vigilancia. La muestra de explotación depende tanto del controlador de GPU Mali como del controlador DPU que son específicos de los teléfonos Samsung Exynos.

Los tres problemas de vulnerabilidad de día cero que fueron descubiertos por el equipo TAG de Google son:

• CVE-2021-25337 – Vulnerabilidad de lectura/escritura de archivos arbitrarios a través de un proveedor de contenido de portapapeles no protegido: Un control de acceso inapropiado en el servicio de portapapeles en dispositivos móviles Samsung permite a aplicaciones no confiables leer o escribir ciertos archivos locales.

• CVE-2021-25369 – Exposición potencial de información del kernel desde sec_log: Una vulnerabilidad de control de acceso inapropiado en el archivo sec_log expone información sensible del kernel al espacio de usuario.

• CVE-2021-25370 – Corrupción de memoria en el controlador de Unidad de Procesamiento de Pantalla (DPU): Una implementación incorrecta que maneja el descriptor de archivo en el controlador dpu resulta en corrupción de memoria que lleva a un pánico del kernel.

Se informó que las fallas fueron explotadas por una aplicación maliciosa de Android, probablemente instalada de forma lateral, engañando a los usuarios para que la instalaran desde fuera de Google Play Store. La aplicación maliciosa permitió al atacante escapar del sandbox de la aplicación y acceder al resto del sistema operativo del dispositivo. Sin embargo, aún no se sabe cuál fue la carga útil final.

“La primera vulnerabilidad en esta cadena, la lectura y escritura de archivos arbitrarios, fue la base de esta cadena, utilizada cuatro veces diferentes y al menos una vez en cada paso”, escribió Maddie Stone, investigadora de seguridad de Google Project Zero, en una publicación de blog que describe la amenaza.

“Los componentes de Java en los dispositivos Android no tienden a ser los objetivos más populares para los investigadores de seguridad a pesar de que se ejecutan a un nivel tan privilegiado.”

Stone agregó además: “Las tres vulnerabilidades en esta cadena estaban en los componentes personalizados del fabricante en lugar de en la plataforma AOSP o el kernel de Linux. También es interesante notar que 2 de las 3 vulnerabilidades eran vulnerabilidades de lógica y diseño en lugar de seguridad de memoria.”

Las vulnerabilidades anteriores fueron encadenadas por el proveedor de vigilancia comercial para comprometer los teléfonos Samsung.

Si bien Google no ha revelado el nombre del proveedor de vigilancia, el gigante tecnológico destacó las similitudes con otras campañas que apuntaron a usuarios de Apple y Android en Italia y Kazajistán, que se han vinculado a la empresa italiana RCS Lab.

Stone señaló que los avisos publicados por Samsung en ese momento no mencionaron que las vulnerabilidades estaban siendo explotadas activamente, pero desde entonces se ha comprometido a comenzar a divulgar cuando las vulnerabilidades están siendo explotadas activamente, siguiendo los pasos de Apple y Google, quienes divulgan vulnerabilidades que están bajo ataque en sus actualizaciones de seguridad.

“Etiquetar cuando las vulnerabilidades se sabe que están siendo explotadas en la naturaleza es importante tanto para los usuarios objetivo como para la industria de la seguridad. Cuando los 0-días en la naturaleza no se divulgan de manera transparente, no podemos usar esa información para proteger mejor a los usuarios, utilizando análisis de parches y análisis de variantes, para obtener una comprensión de lo que los atacantes ya saben”, concluye la publicación del blog.

“El análisis de esta cadena de explotación nos ha proporcionado nuevos e importantes conocimientos sobre cómo los atacantes están apuntando a dispositivos Android. Destaca la necesidad de más investigación en componentes específicos del fabricante. Muestra dónde deberíamos hacer un análisis de variantes adicional.”