Поставщик слежки использовал уязвимость нулевого дня в телефоне Samsung

Команда Project Zero в Google раскрыла, что коммерческий поставщик слежки использовал три уязвимости нулевого дня в новых моделях смартфонов Samsung для шпионажа за людьми и кражи пользовательских данных.

Три уязвимости телефонов Samsung, о которых сообщила Группа анализа угроз (TAG) Google, это CVE-2021-25337, CVE-2021-25369 и CVE-2021-25370.

Когда Google обнаружила образцы эксплуатации в конце 2020-х годов, она немедленно сообщила об этих уязвимостях Samsung, которые все были исправлены компанией в марте 2021 года.

Кроме того, уязвимости, обнаруженные в программном обеспечении, созданном специально для устройств Samsung, использовались вместе как часть цепочки эксплуатации для нацеливания на телефоны Samsung, работающие на Android.

Цепочка уязвимостей позволила бы злоумышленнику получить права на чтение и запись в ядре как пользователь root, что в конечном итоге могло бы раскрыть личные данные на устройстве.

Кроме того, цепочка эксплуатации нацеливалась на телефоны Samsung, работающие на ядре 4.14.113 с SOC Exynos. Согласно Google, модели, которые были затронуты в конце 2020-х годов, это Galaxy S10, Galaxy A50 и Galaxy A51, работающие на ядре 4.14.113.

Телефоны Samsung с SOC Exynos в основном продаются в Европе и Африке, где, вероятно, находились цели слежки. Образец эксплуатации зависит как от драйвера Mali GPU, так и от драйвера DPU, которые специфичны для телефонов Samsung с Exynos.

Три проблемы уязвимости нулевого дня, обнаруженные командой TAG Google:

• CVE-2021-25337 – Уязвимость произвольного чтения/записи файлов через незащищенный провайдер содержимого буфера обмена: Неправильный контроль доступа в службе буфера обмена на мобильных устройствах Samsung позволяет ненадежным приложениям читать или записывать определенные локальные файлы.

• CVE-2021-25369 – Потенциальное раскрытие информации о ядре из sec_log: Уязвимость неправильного контроля доступа в файле sec_log раскрывает чувствительную информацию о ядре для пользовательского пространства.

• CVE-2021-25370 – Порча памяти в драйвере блока обработки изображения (DPU): Неправильная реализация обработки файлового дескриптора в драйвере dpu приводит к порче памяти, что вызывает панику ядра.

Сообщается, что уязвимости использовались злонамеренным приложением для Android, вероятно, установленным вручную, обманывающим пользователей, чтобы установить его из-за пределов Google Play Store. Злонамеренное приложение позволяло злоумышленнику выйти из песочницы приложения и получить доступ к остальной части операционной системы устройства. Однако пока не известно, какова была конечная нагрузка.

«Первая уязвимость в этой цепочке, произвольное чтение и запись файлов, была основой этой цепочки, использовалась четыре разных раза и использовалась как минимум один раз на каждом этапе», - написала Мэдди Стоун, исследователь безопасности Google Project Zero, в блоге, описывающем угрозу.

«Компоненты Java в устройствах Android не являются самыми популярными целями для исследователей безопасности, несмотря на то, что они работают на таком привилегированном уровне».

Стоун добавила: «Все три уязвимости в этой цепочке находились в пользовательских компонентах производителя, а не в платформе AOSP или ядре Linux. Также интересно отметить, что 2 из 3 уязвимостей были логическими и проектными уязвимостями, а не уязвимостями безопасности памяти».

Вышеупомянутые уязвимости были связаны коммерческим поставщиком слежки для компрометации телефонов Samsung.

Хотя Google не раскрыла имя поставщика слежки, технологический гигант подчеркнул сходство с другими кампаниями, нацеленными на пользователей Apple и Android в Италии и Казахстане, которые были связаны с итальянской компанией RCS Lab.

Стоун отметила, что уведомления, опубликованные Samsung в то время, не упоминали о том, что уязвимости активно эксплуатировались, но с тех пор компания обязалась начинать раскрывать информацию о том, когда уязвимости активно эксплуатируются, следуя по стопам Apple и Google, которые раскрывают уязвимости, находящиеся под атакой, в своих обновлениях безопасности.

«Маркировка уязвимостей, о которых известно, что они эксплуатируются в дикой природе, важна как для целевых пользователей, так и для индустрии безопасности. Когда уязвимости нулевого дня в дикой природе не раскрываются прозрачно, мы не можем использовать эту информацию для дальнейшей защиты пользователей, используя анализ патчей и анализ вариантов, чтобы понять, что уже известно злоумышленникам», - заключает блог.

«Анализ этой цепочки эксплуатации предоставил нам новые и важные сведения о том, как злоумышленники нацеливаются на устройства Android. Это подчеркивает необходимость дальнейших исследований в области компонентов, специфичных для производителей. Это показывает, где нам следует провести дальнейший анализ вариантов.