​​O zranitelnostech v OS Android, které byly nalezeny v rámci projektu Zero společnosti Google, jsme už několikrát psali. Nyní se podařilo odhalit další závažnou zranitelnost, která umožňuje útočníkům přístup k SMS zprávám, kontaktům, datům v telefonu nebo až možnost úplné kontroly nad mobilním zařízením. Tentokrát se však nejedná o zranitelnost v operačním systému Android, ale v knihovně Quram, která zpracovává obrázkové soubory. Tato knihovna je primárně využívána v mobilních telefonech společnosti Samsung.

Problém byl opraven v posledním květnovém updatu, který je pro Samsung telefony již dostupný. Zranitelnost má označení SVE-2020-16747 případně dle NVD CVE-2020-8899. Je hodnocena jako kritická s prozatímním hodnocením CVSS 10.0, tedy nejvyšším možným.

Podle oficiálního vyjádření společnosti Samsung jsou zranitelné pouze modely s operačním systémem Android verze 8 a novější. Výzkumník Mateusz Jurczyk, který tuto zranitelnost objevil, však ve svém testování ukázal, že jsou zranitelné i modely Samsung vydané od roku 2014, které mají starší verzi Androidu.

Objevená zranitelnost v knihovně Quram spočívá v tom, jakým způsobem jsou určité formáty obrázků dekódovány. Pokud se útočníkovi podaří sestavit „škodlivý“ obrázek a poslat ho na zranitelný telefon, může získat přístup ke všem datům, ke kterým má přístup samotná aplikace, kterou byl obrázek dekódován. Jako příklad můžeme uvést útok pomocí MMS kanálu, který byl výzkumníkem také prezentován a je pokládán za nejpravděpodobnější formu útoku. Útočník pošle v MMS zprávě speciální obrázek. Jakmile dojde k jeho dekódování aplikací pro čtení SMS zpráv, získá útočník přístup všude tam, kam má přístup daná aplikace. Většinou jsou to tedy SMS zprávy, kontakty, výpis hovorů, úložiště a další, záleží vždy na oprávněních konkrétní aplikace. Není však vyloučeno, že útočník může získat i vyšší oprávnění, pokud dojde k dekódování obrázku jinou aplikací.

Ve skutečnosti útok není až tak jednoduchý. Útočník musí nejdříve odhalit rozložení adresního prostoru, který je v Androidu „chráněn“ proti exploitaci zranitelností pomocí ASLR (Address Space Layout Randomization). Proof of Concept tohoto útoku trval téměř 2 hodiny a bylo nutné odeslat více než 100 MMS zpráv. Není však vyloučeno, že se mohou objevit jiné vektory útoku, které sníží nutný počet MMS zpráv, a navíc znemožní veškeré notifikace uživateli o příchozí zprávě. Takový útok však nebyl zveřejněn, avšak teoreticky je možný.

Protože útok přes MMS kanál je zatím nejpravděpodobnější, doporučujeme následující:

• Zakázat funkci „MMS auto-retrieve“ v aplikaci pro příjem zpráv.
• Zkontrolovat si aktuální verzi OS Android a případně co nejdříve nainstalovat opravný patch.

Video Proof of Concept útoku:

Použité zdroje:

Původní report zranitelnosti včetně seznamu testovaných zařízení: https://bugs.chromium.org/p/project-zero/issues/detail?id=2002
https://security.samsungmobile.com/securityUpdate.smsb
https://nvd.nist.gov/vuln/detail/CVE-2020-8899