O zraniteľnostiach v OS Android, ktoré boli nájdené v rámci projektu Zero spoločnosti Google, sme už niekoľkokrát písali. Teraz sa ale podarilo odhaliť ďalšiu závažnú zraniteľnosť, ktorá umožňuje útočníkom prístup k SMS správam, kontaktom, dátam v telefóne alebo dokonca im dáva možnosť úplnej kontroly nad mobilným zariadením. Tento raz sa ale nejedná o zraniteľnosť operačného systému Android, ale knižnice Quram, ktorá spracováva obrázkové súbory. Táto knižnica sa primárne využíva v mobilných telefónoch spoločnosti Samsung.

Problém bol opravený v poslednom májovom update, ktorý je pre Samsung telefóny už aj dostupný. Zraniteľnosť má označenie SVE-2020-16747, prípadne podľa NVD CVE-2020-8899. Je hodnotená ako kritická, s dočasným hodnotením CVSS 10.0, teda najvyšším možným.

Podľa oficiálneho vyjadrenia spoločnosti Samsung sú zraniteľné iba modely s operačným systémom Android vo verzii 8 a novšie. Výskumník Mateusz Jurczyk, ktorý túto zraniteľnosť objavil, vo svojom testovaní však preukázal, že zraniteľné sú aj modely Samsung vydané od roku 2014, ktoré majú staršiu verziu Androidu.

Objavená zraniteľnosť v knižnici Quram tkvie v tom, akým spôsobom sú určité formáty obrázkov dekódované. Pokiaľ sa útočníkovi podarí zostaviť „škodlivý" obrázok a poslat ho na zranitelný telefon, môže získať prístup k všetkým dátam, ku ktorým má prístup samotná aplikácia, ktorou bol obrázok dekódovaný. Ako príklad môžeme uviesť útok pomocou MMS kanála, ktorý bol výskumníkom taktiež prezentovaný a je pokladaný za najpravdepodobnejšiu formu útoku. Útočník pošle v MMS správe špeciálny obrázok. Akonáhle dôjde k jeho dekódovanie v aplikácii na čítanie SMS správ, útočník získa prístup všade tam, kam má prístup aj táto aplikácia. Väčšinou sú to teda SMS správy, kontakty, výpis hovorov, úložisko a ďalšie, záleží na oprávneniach konkrétnej aplikácie. Avšak nie je vylúčené, že útočník môže získať aj vyššie oprávnenia, pokiaľ dôjde k dekódovaniu obrázka inou aplikáciou.

V skutočnosti útok nie je až tak jednoduchý. Útočník musí najprv odhaliť rozloženie adresného priestoru, ktorý je v Androide „chránený" proti exploitácii zraniteľností pomocou ASLR (Address Space Layout Randomization). Proof of Concept takéhoto útoku trval takmer 2 hodiny a bolo nutné odoslať viac ako 100 MMS správ. Nie je ale vylúčené, že sa môžu objaviť iné vektory útoku, ktoré znížia nutný počet MMS správ a naviac znemožnia užívateľovi všetky notifikácie o prijatých správach. Takýto útok síce nebol zverejnený, avšak teoreticky je možný.

Pretože útok cez MMS kanál je zatiaľ najpravdepodobnejší, odporúčame nasledujúce:

• Zakázať funkciu „MMS auto-retrieve" v aplikácii na príjem správ.
• Skontrolovať si aktuálnu verziu OS Android a prípadne čo najskôr nainštalovať opravný patch.

Video Proof of Concept útoku:

Referencie:

Pôvodný report zraniteľnosti vrátane zoznamu testovaných zariadení: https://bugs.chromium.org/p/project-zero/issues/detail?id=2002
https://security.samsungmobile.com/securityUpdate.smsb
https://nvd.nist.gov/vuln/detail/CVE-2020-8899