サムスン携帯電話のゼロデイ脆弱性を悪用した監視ベンダー

GoogleのProject Zeroチームは、商業監視ベンダーが新しいサムスンスマートフォンモデルの3つのゼロデイセキュリティ脆弱性を悪用して人々を監視し、ユーザーデータを盗んでいたことを明らかにしました。

Googleの脅威分析グループ（TAG）によって開示されたサムスンの3つの携帯電話の脆弱性は、CVE-2021-25337、CVE-2021-25369、およびCVE-2021-25370です。

Googleが2020年代後半にエクスプロイトサンプルを発見した際、すぐにこれらの脆弱性をサムスンに報告し、同社は2021年3月のリリースで全てをパッチしました。

さらに、デバイスのサムスン独自のソフトウェアで発見された脆弱性は、すべて一緒に悪用チェーンの一部として使用され、Androidを実行しているサムスンの携帯電話を標的にしました。

チェーン化された脆弱性により、攻撃者はルートユーザーとしてカーネルの読み取りおよび書き込み権限を取得でき、最終的にはデバイス上の個人データを開示する可能性があります。

さらに、エクスプロイトチェーンはExynos SOCを搭載したカーネル4.14.113を実行しているサムスンの携帯電話を標的にしました。Googleによると、2020年代後半に影響を受けたモデルは、サムスンのGalaxy S10、Galaxy A50、およびGalaxy A51で、カーネル4.14.113を実行していました。

Exynos SOCを搭載したサムスンの携帯電話は主にヨーロッパとアフリカで販売されており、監視のターゲットが所在していた可能性があります。エクスプロイトサンプルは、Exynosサムスンの携帯電話に特有のMali GPUドライバーとDPUドライバーの両方に依存しています。

GoogleのTAGチームによって発見された3つのゼロデイ脆弱性の問題は以下の通りです：

• CVE-2021-25337 – 保護されていないクリップボードコンテンツプロバイダーを介した任意のファイルの読み取り/書き込み脆弱性：サムスンのモバイルデバイスのクリップボードサービスにおける不適切なアクセス制御により、信頼できないアプリケーションが特定のローカルファイルを読み取ったり書き込んだりすることができます。

• CVE-2021-25369 – sec_logからのカーネル情報の潜在的な漏洩：sec_logファイルにおける不適切なアクセス制御脆弱性により、機密のカーネル情報がユーザースペースに漏洩します。

• CVE-2021-25370 – ディスプレイ処理ユニット（DPU）ドライバーにおけるメモリ破損：dpuドライバーにおけるファイルディスクリプタの処理の不正な実装により、メモリ破損が発生し、カーネルパニックを引き起こします。

これらの欠陥は、悪意のあるAndroidアプリによって悪用されたと報告されており、おそらくサイドロードされ、ユーザーをGoogle Playストアの外からインストールするように騙していました。悪意のあるアプリは、攻撃者がアプリのサンドボックスを逃れ、デバイスのオペレーティングシステムの残りにアクセスできるようにしました。ただし、最終的なペイロードが実際に何であったかはまだ不明です。

「このチェーンの最初の脆弱性である任意のファイルの読み取りおよび書き込みは、このチェーンの基盤であり、4回異なる方法で使用され、各ステップで少なくとも1回使用されました」と、Google Project Zeroのセキュリティ研究者であるマディ・ストーンは、脅威を説明するブログ投稿に書いています。

「AndroidデバイスのJavaコンポーネントは、特権レベルで実行されているにもかかわらず、セキュリティ研究者にとって最も人気のあるターゲットではない傾向があります。」

ストーンはさらに、「このチェーンの3つの脆弱性は、AOSPプラットフォームやLinuxカーネルではなく、メーカーのカスタムコンポーネントにありました。また、3つの脆弱性のうち2つはメモリの安全性ではなく、論理および設計の脆弱性であることも興味深いです。」

上記の脆弱性は、商業監視ベンダーによってサムスンの携帯電話を侵害するためにチェーン化されました。

Googleは監視ベンダーの名前を明らかにしていませんが、テクノロジー大手は、イタリアとカザフスタンでAppleおよびAndroidユーザーを標的にした他のキャンペーンとの類似点を強調しており、これはイタリアの企業RCS Labに関連しています。

ストーンは、その時にサムスンが発表したアドバイザリーには、脆弱性が積極的に悪用されていることが言及されていなかったが、同社はその後、AppleやGoogleの後を追って、脆弱性が積極的に悪用されている場合に開示を開始することを約束したと述べました。

「脆弱性が実際に悪用されていることが知られている場合にラベリングすることは、ターゲットユーザーとセキュリティ業界の両方にとって重要です。実際に悪用されているゼロデイが透明に開示されない場合、私たちはその情報を使用してユーザーをさらに保護することができず、パッチ分析やバリアント分析を使用して、攻撃者がすでに知っていることを理解することができません。」とブログ投稿は結論付けています。

「このエクスプロイトチェーンの分析は、攻撃者がAndroidデバイスを標的にする方法についての新しい重要な洞察を提供しました。これは、メーカー特有のコンポーネントに対するさらなる研究の必要性を強調しています。どこでさらなるバリアント分析を行うべきかを示しています。