Fornecedor de Vigilância Explorou Vulnerabilidade de Zero-Day em Telefone Samsung

A equipe do Project Zero do Google revelou que um fornecedor comercial de vigilância estava explorando três vulnerabilidades de segurança de zero-day em modelos mais novos de smartphones Samsung para espionar pessoas e roubar dados de usuários.

As três vulnerabilidades do telefone Samsung divulgadas pelo Grupo de Análise de Ameaças (TAG) do Google são CVE-2021-25337, CVE-2021-25369 e CVE-2021-25370.

Quando o Google encontrou amostras de exploração no final da década de 2020, imediatamente relatou essas vulnerabilidades à Samsung, que foram todas corrigidas pela empresa em seu lançamento de março de 2021.

Além disso, as vulnerabilidades, descobertas no software personalizado da Samsung dos dispositivos, foram todas usadas juntas como parte de uma cadeia de exploração para atacar telefones Samsung que executam Android.

As vulnerabilidades encadeadas permitiriam que o atacante obtivesse privilégios de leitura e gravação do kernel como usuário root, o que poderia eventualmente divulgar dados pessoais no dispositivo.

Além disso, a cadeia de exploração visou telefones Samsung que executam o kernel 4.14.113 com o SOC Exynos. De acordo com o Google, os modelos que foram afetados no final da década de 2020 foram o Galaxy S10, Galaxy A50 e Galaxy A51 da Samsung, todos executando o kernel 4.14.113.

Os telefones Samsung com SOC Exynos são vendidos principalmente na Europa e na África, que provavelmente eram onde os alvos da vigilância estavam localizados. A amostra de exploração depende tanto do driver da GPU Mali quanto do driver DPU que são específicos para os telefones Samsung Exynos.

As três questões de vulnerabilidade de zero-day que foram descobertas pela equipe TAG do Google são:

• CVE-2021-25337 – Vulnerabilidade de leitura/gravação de arquivo arbitrário via provedor de conteúdo da área de transferência não protegido: Um controle de acesso inadequado no serviço de área de transferência em dispositivos móveis Samsung permite que aplicativos não confiáveis leiam ou gravem certos arquivos locais.

• CVE-2021-25369 – Exposição potencial de informações do kernel a partir do sec_log: Uma vulnerabilidade de controle de acesso inadequado no arquivo sec_log expõe informações sensíveis do kernel ao espaço do usuário.

• CVE-2021-25370 – Corrupção de memória no driver da Unidade de Processamento de Exibição (DPU): Uma implementação incorreta que lida com descritores de arquivo no driver dpu resulta em corrupção de memória levando a um pânico do kernel.

Os defeitos foram supostamente explorados por um aplicativo Android malicioso, provavelmente instalado por meio de sideload, enganando os usuários para instalar fora da Google Play Store. O aplicativo malicioso permitiu que o atacante escapasse do sandbox do aplicativo e acessasse o restante do sistema operacional do dispositivo. No entanto, ainda não se sabe qual foi o payload final.

“A primeira vulnerabilidade nesta cadeia, a leitura e gravação de arquivo arbitrário, foi a base desta cadeia, usada quatro vezes diferentes e utilizada pelo menos uma vez em cada etapa”, escreveu Maddie Stone, uma pesquisadora de segurança do Google Project Zero, em um post no blog descrevendo a ameaça.

“Os componentes Java em dispositivos Android não tendem a ser os alvos mais populares para pesquisadores de segurança, apesar de serem executados em um nível tão privilegiado.”

Stone acrescentou ainda: “Todas as três vulnerabilidades nesta cadeia estavam nos componentes personalizados do fabricante, em vez de na plataforma AOSP ou no kernel Linux. Também é interessante notar que 2 das 3 vulnerabilidades eram vulnerabilidades de lógica e design, em vez de segurança de memória.”

As vulnerabilidades acima foram encadeadas pelo fornecedor comercial de vigilância para comprometer os telefones Samsung.

Embora o Google não tenha revelado o nome do fornecedor de vigilância, o gigante da tecnologia destacou as semelhanças com outras campanhas que visaram usuários da Apple e Android na Itália e no Cazaquistão, que foram vinculadas à empresa italiana RCS Lab.

Stone observou que os avisos publicados pela Samsung naquela época não mencionaram que as vulnerabilidades estavam sendo ativamente exploradas, mas desde então se comprometeram a começar a divulgar quando as vulnerabilidades estão sendo ativamente exploradas, seguindo os passos da Apple e do Google, que divulgam vulnerabilidades que estão sob ataque em suas atualizações de segurança.

“Rotular quando as vulnerabilidades são conhecidas por serem exploradas na natureza é importante tanto para os usuários-alvo quanto para a indústria de segurança. Quando 0-days na natureza não são divulgados de forma transparente, não conseguimos usar essas informações para proteger ainda mais os usuários, usando análise de patches e análise de variantes, para entender o que os atacantes já sabem”, conclui o post do blog.

“A análise desta cadeia de exploração nos forneceu novos e importantes insights sobre como os atacantes estão visando dispositivos Android. Destaca a necessidade de mais pesquisas em componentes específicos do fabricante. Mostra onde devemos fazer mais análise de variantes.