info:Coś dobrego dla fanów technicznej lektury, zawierającej jednak wątek sensacyjny. W rozbudowanym wpisie Google omawia swoje podejście do szukania błędów 0-days w Androidzie. Takich wykorzystywanych w realnych działaniach bojowych. No więc zaczyna się od hintu z końca lata 2019 roku, który otrzymała ekipa Google:
In late summer 2019, Google’s Threat Analysis Group (TAG), Android Security, and Project Zero team received information suggesting that NSO had a 0-day exploit for Android that was part of an attack chain that installed Pegasus spyware on target devices.Izraleska NSO, używająca 0-daya jako element instalacji Pegasusa na Androidzie. Brzmi ciekawie. Google wyodrębniło kilka istotnych informacji o exploicie, m.in:
Na tej podstawie udało się dojść do konkretnej podatności (CVE-2019-2215) i pokazać dokładnie sposób wykorzystania luki. Dziura została załata październikowym patch secie. Na koniec ciekawostka: podatność była znana od dwóch lat (załatano ją w jadrze Linuksa), ale z jakiegoś powodu łatka nie znalazła się w Androidzie:
- to błąd w jądrze OS (umożliwiający np. wyskoczenie z sandboksa Chrome)
- exploit w zasadzie nie wymaga dostosowania pod konkretny model telefonu (jest w miarę uniwersalny). Wśród podatnych modeli telefonów wymienia się: Pixel 1,2; kilka modeli Xiaomi; Samsung S7, S8, S9; Huawei P20; Oreo LG; Moto Z3 – przy czym sam Google zaznacza. że są to tylko przykłady
- podatność została załatana w jądrach Linuksa >= 4.14, ale nie przyznano numeru CVE (czyli nikt jakoś szeroko nie zwrócił uwagi na to, że może to być duży problem bezpieczeństwa)
CVE-2019-2215 permits attackers to fully compromise a device with only untrusted app access or a browser renderer exploit and despite the patch being available in the upstream Linux kernel, it was left unpatched in Android devices for almost 2 years. (…) Given the information in various public documents about the services that NSO Group provides, it seems most likely that this vulnerability was chained with either a browser renderer exploit or other remote capability.Jak widać, luks była najprawdopodobniej wykorzystywana przez Pegasusa do otrzymania pełnego dostępu root na atakowanym Androidzie. Była też ona łączona z innymi podatnościami (np. w przeglądarkach) do otrzymania pełnej, zdalnej możliwości przejęcia telefonów.
Patrząc na długi okres, w którym podatność była wykorzystywana, można napisać: posiadacze licencji Pegasusa mogą spać spokojnie. Posiadacze telefonów (ach gdzie te patche?) mogą spać niezbyt spokojnie.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!