Il fornitore di sorveglianza ha sfruttato vulnerabilità zero-day nei telefoni Samsung

Il team Project Zero di Google ha rivelato che un fornitore di sorveglianza commerciale stava sfruttando tre vulnerabilità di sicurezza zero-day in modelli di smartphone Samsung più recenti per spiare le persone e rubare dati degli utenti.

Le tre vulnerabilità dei telefoni Samsung divulgate dal Threat Analysis Group (TAG) di Google sono CVE-2021-25337, CVE-2021-25369 e CVE-2021-25370.

Quando Google ha trovato campioni di exploit alla fine degli anni 2020, ha immediatamente segnalato queste vulnerabilità a Samsung, che sono state tutte corrette dall’azienda nel rilascio di marzo 2021.

Inoltre, le vulnerabilità, scoperte nel software personalizzato di Samsung dei dispositivi, sono state tutte utilizzate insieme come parte di una catena di exploit per prendere di mira i telefoni Samsung che eseguono Android.

Le vulnerabilità concatenate avrebbero permesso all’attaccante di ottenere privilegi di lettura e scrittura del kernel come utente root, il che potrebbe eventualmente rivelare dati personali sul dispositivo.

In aggiunta, la catena di exploit ha preso di mira i telefoni Samsung che eseguono il kernel 4.14.113 con l’Exynos SOC. Secondo Google, i modelli che sono stati colpiti alla fine degli anni 2020 erano il Galaxy S10, il Galaxy A50 e il Galaxy A51 di Samsung e che eseguivano il kernel 4.14.113.

I telefoni Samsung con Exynos SOC sono principalmente venduti in Europa e Africa, che probabilmente erano i luoghi in cui si trovavano i bersagli della sorveglianza. Il campione di exploit si basa sia sul driver GPU Mali che sul driver DPU specifici per i telefoni Samsung Exynos.

Le tre problematiche di vulnerabilità zero-day scoperte dal team TAG di Google sono:

• CVE-2021-25337 – Vulnerabilità di lettura/scrittura di file arbitrari tramite provider di contenuti della clipboard non protetto: Un controllo di accesso improprio nel servizio clipboard nei dispositivi mobili Samsung consente a applicazioni non affidabili di leggere o scrivere determinati file locali.

• CVE-2021-25369 – Possibile esposizione di informazioni del kernel da sec_log: Una vulnerabilità di controllo di accesso improprio nel file sec_log espone informazioni sensibili del kernel all’utente.

• CVE-2021-25370 – Corruzione della memoria nel driver Display Processing Unit (DPU): Un’implementazione errata della gestione del descrittore di file nel driver dpu provoca corruzione della memoria che porta a un panic del kernel.

Si riporta che le vulnerabilità sono state sfruttate da un’app Android malevola, probabilmente installata manualmente, ingannando gli utenti a installare da fonti esterne al Google Play Store. L’app malevola ha permesso all’attaccante di sfuggire alla sandbox dell’app e accedere al resto del sistema operativo del dispositivo. Tuttavia, non è ancora noto quale fosse il payload finale.

“La prima vulnerabilità in questa catena, la lettura e scrittura di file arbitrari, era la base di questa catena, utilizzata quattro volte diverse e utilizzata almeno una volta in ogni passaggio,” ha scritto Maddie Stone, ricercatrice di sicurezza di Google Project Zero, in un post sul blog che descrive la minaccia.

“I componenti Java nei dispositivi Android non tendono ad essere i bersagli più popolari per i ricercatori di sicurezza nonostante funzionino a un livello così privilegiato.”

Stone ha aggiunto ulteriormente, “Tutte e tre le vulnerabilità in questa catena erano nei componenti personalizzati del produttore piuttosto che nella piattaforma AOSP o nel kernel Linux. È anche interessante notare che 2 delle 3 vulnerabilità erano vulnerabilità logiche e di design piuttosto che di sicurezza della memoria.”

Le vulnerabilità sopra menzionate sono state concatenate dal fornitore di sorveglianza commerciale per compromettere i telefoni Samsung.

Sebbene Google non abbia rivelato il nome del fornitore di sorveglianza, il gigante tecnologico ha evidenziato le somiglianze con altre campagne che hanno preso di mira utenti Apple e Android in Italia e Kazakistan, che sono state collegate all’azienda italiana RCS Lab.

Stone ha osservato che gli avvisi pubblicati da Samsung in quel momento non menzionavano che le vulnerabilità erano attivamente sfruttate, ma da allora si è impegnata a iniziare a divulgare quando le vulnerabilità sono attivamente sfruttate, seguendo le orme di Apple e Google, che divulgano vulnerabilità che sono sotto attacco nei loro aggiornamenti di sicurezza.

“Etichettare quando le vulnerabilità sono note per essere sfruttate nel mondo reale è importante sia per gli utenti mirati che per l’industria della sicurezza. Quando le zero-day nel mondo reale non vengono divulgate in modo trasparente, non siamo in grado di utilizzare queste informazioni per proteggere ulteriormente gli utenti, utilizzando l’analisi delle patch e l’analisi delle varianti, per comprendere cosa sanno già gli attaccanti,” conclude il post del blog.

“L’analisi di questa catena di exploit ci ha fornito nuove e importanti intuizioni su come gli attaccanti prendono di mira i dispositivi Android. Sottolinea la necessità di ulteriori ricerche sui componenti specifici del produttore. Mostra dove dovremmo fare ulteriori analisi delle varianti.