Le fournisseur de surveillance a exploité une vulnérabilité zero-day dans les téléphones Samsung

L’équipe Project Zero de Google a révélé qu’un fournisseur de surveillance commercial exploitait trois vulnérabilités de sécurité zero-day dans les modèles de smartphones Samsung plus récents pour espionner les gens et voler des données utilisateur.

Les trois vulnérabilités des téléphones Samsung divulguées par le groupe d’analyse des menaces (TAG) de Google sont CVE-2021-25337, CVE-2021-25369 et CVE-2021-25370.

Lorsque Google a trouvé des échantillons d’exploitation à la fin des années 2020, il a immédiatement signalé ces vulnérabilités à Samsung, qui ont toutes été corrigées depuis par l’entreprise dans sa version de mars 2021.

De plus, les vulnérabilités, découvertes dans le logiciel personnalisé de Samsung des appareils, ont toutes été utilisées ensemble dans le cadre d’une chaîne d’exploitation pour cibler les téléphones Samsung fonctionnant sous Android.

Les vulnérabilités en chaîne permettraient à l’attaquant d’obtenir des privilèges de lecture et d’écriture du noyau en tant qu’utilisateur root, ce qui pourrait finalement divulguer des données personnelles sur l’appareil.

En outre, la chaîne d’exploitation ciblait les téléphones Samsung fonctionnant sous le noyau 4.14.113 avec le SOC Exynos. Selon Google, les modèles qui ont été affectés à la fin des années 2020 étaient le Galaxy S10, le Galaxy A50 et le Galaxy A51, tous fonctionnant sous le noyau 4.14.113.

Les téléphones Samsung avec SOC Exynos sont principalement vendus en Europe et en Afrique, qui étaient probablement les lieux où se trouvaient les cibles de la surveillance. L’échantillon d’exploitation repose à la fois sur le pilote GPU Mali et le pilote DPU qui sont spécifiques aux téléphones Samsung Exynos.

Les trois problèmes de vulnérabilité zero-day découverts par l’équipe TAG de Google sont :

• CVE-2021-25337 – Vulnérabilité de lecture/écriture de fichiers arbitraires via un fournisseur de contenu de presse-papiers non protégé : Un contrôle d’accès inapproprié dans le service de presse-papiers des appareils mobiles Samsung permet à des applications non fiables de lire ou d’écrire certains fichiers locaux.

• CVE-2021-25369 – Exposition potentielle d’informations sur le noyau à partir de sec_log : Une vulnérabilité de contrôle d’accès inapproprié dans le fichier sec_log expose des informations sensibles du noyau à l’espace utilisateur.

• CVE-2021-25370 – Corruption de mémoire dans le pilote de l’unité de traitement d’affichage (DPU) : Une mauvaise mise en œuvre du traitement des descripteurs de fichiers dans le pilote dpu entraîne une corruption de la mémoire conduisant à un panic du noyau.

Les défauts auraient été exploités par une application Android malveillante, probablement sideloadée, trompant les utilisateurs pour qu’ils installent depuis l’extérieur du Google Play Store. L’application malveillante a permis à l’attaquant d’échapper à l’environnement de l’application et d’accéder au reste du système d’exploitation de l’appareil. Cependant, il n’est pas encore connu quel était le véritable payload final.

« La première vulnérabilité de cette chaîne, la lecture et l’écriture de fichiers arbitraires, était la base de cette chaîne, utilisée quatre fois différentes et utilisée au moins une fois à chaque étape », a écrit Maddie Stone, chercheuse en sécurité de Google Project Zero, dans un article de blog décrivant la menace.

« Les composants Java dans les appareils Android ne tendent pas à être les cibles les plus populaires pour les chercheurs en sécurité malgré le fait qu’ils fonctionnent à un niveau si privilégié. »

Stone a ajouté : « Les trois vulnérabilités de cette chaîne étaient dans les composants personnalisés du fabricant plutôt que dans la plateforme AOSP ou le noyau Linux. Il est également intéressant de noter que 2 des 3 vulnérabilités étaient des vulnérabilités logiques et de conception plutôt que de sécurité mémoire. »

Les vulnérabilités ci-dessus ont été enchaînées par le fournisseur de surveillance commercial pour compromettre les téléphones Samsung.

Bien que Google n’ait pas révélé le nom du fournisseur de surveillance, le géant technologique a souligné les similitudes avec d’autres campagnes qui ont ciblé les utilisateurs d’Apple et d’Android en Italie et au Kazakhstan, qui ont été liées à l’entreprise italienne RCS Lab.

Stone a noté que les avis publiés par Samsung à l’époque ne mentionnaient pas que les vulnérabilités étaient activement exploitées, mais l’entreprise s’est depuis engagée à commencer à divulguer lorsque des vulnérabilités sont activement exploitées, suivant les traces d’Apple et de Google, qui divulguent les vulnérabilités qui sont sous attaque dans leurs mises à jour de sécurité.

« Étiqueter lorsque des vulnérabilités sont connues pour être exploitées dans la nature est important tant pour les utilisateurs ciblés que pour l’industrie de la sécurité. Lorsque les 0-days dans la nature ne sont pas divulgués de manière transparente, nous ne sommes pas en mesure d’utiliser cette information pour protéger davantage les utilisateurs, en utilisant l’analyse des correctifs et l’analyse des variantes, pour comprendre ce que les attaquants savent déjà », conclut l’article de blog.

« L’analyse de cette chaîne d’exploitation nous a fourni de nouvelles et importantes informations sur la manière dont les attaquants ciblent les appareils Android. Elle met en évidence la nécessité de plus de recherches sur les composants spécifiques au fabricant. Elle montre où nous devrions faire davantage d’analyses de variantes.