Seguridad

Proveedor de vigilancia explotó vulnerabilidad de día cero en teléfono Samsung

El equipo de Project Zero en Google reveló que un proveedor de vigilancia comercial estaba explotando una vulnerabilidad de seguridad de día cero en los modelos más nuevos de teléfonos inteligentes Samsung para espiar a las personas y robar datos de los usuarios.

Las tres vulnerabilidades de los teléfonos Samsung expuestas por Google Threat Analysis Group (TAG) son CVE-2021-25337, CVE-2021-25369 y CVE-2021-25370.

Cuando Google encontró ejemplos de exploits a fines de la década de 2020, informó de inmediato esas vulnerabilidades a Samsung, las cuales ya fueron parcheadas por la compañía en su lanzamiento de marzo de 2021.

Además, las vulnerabilidades, encontradas en el software Samsung personalizado de los dispositivos, se usaron juntas como parte de una cadena de vulnerabilidades para apuntar a los teléfonos Samsung con Android.

Las vulnerabilidades de encadenamiento permitirían al atacante leer y escribir privilegios del kernel como usuario raíz, lo que eventualmente podría exponer datos personales en el dispositivo.

Además, la cadena de explotación apuntó a los teléfonos Samsung que ejecutan el kernel 4.14.113 con Exynos SOC. Según Google, los modelos afectados a fines de la década de 2020 fueron el Samsung Galaxy S10, el Galaxy A50 y el Galaxy A51 con el kernel actual 4.14.113.

Los teléfonos Samsung con Exynos SOC se venden principalmente en Europa y África, que es probablemente donde se ubicaron los objetivos de vigilancia. El ejemplo de explotación se basa en el controlador de GPU de Mali y el controlador de DPU específico para los teléfonos Exynos de Samsung.

Los tres problemas de vulnerabilidad de día cero encontrados por el equipo TAG de Google son:

  • CVE-2021-25337Vulnerabilidad de lectura/escritura de archivos arbitrarios a través de un proveedor de contenido de portapapeles desprotegido: El control de acceso inadecuado en el servicio de portapapeles en los dispositivos móviles de Samsung permite que las aplicaciones no confiables lean o escriban ciertos archivos locales.
  • CVE-2021-25369Posible divulgación de información del kernel de sec_log: Vulnerabilidad de control de acceso inadecuado en el archivo sec_log expone información confidencial del espacio de usuario del kernel.
  • CVE-2021-25370Corrupción de la memoria en el controlador de la Unidad de procesamiento de pantalla (DPU).: La implementación incorrecta del manejo del descriptor de archivos en el controlador dpu da como resultado daños en la memoria que provocan un pánico en el kernel.

Según los informes, una aplicación maliciosa de Android se aprovechó de las fallas, que probablemente se descartaron, engañando a los usuarios para que instalaran fuera de Google Play Store. La aplicación maliciosa permitió al atacante escapar de la zona de pruebas de la aplicación y obtener acceso al resto del sistema operativo del dispositivo. Sin embargo, todavía se desconoce cuál es la carga útil final.

«La primera vulnerabilidad en esta cadena, la lectura y escritura arbitraria de archivos, fue la base de esta cadena, que se usó cuatro veces diferentes y se usó al menos una vez en cada paso», escribió Maddie Stone, investigadora de seguridad de Google Project Zero, en un Blog. publicación que describe la amenaza.

«Los componentes de Java en los dispositivos Android no suelen ser los objetivos más populares para los investigadores de seguridad a pesar de operar en un nivel tan privilegiado».

Stone agregó: “Las tres vulnerabilidades en esta cadena estaban en los componentes personalizados del fabricante en lugar de la plataforma AOSP o el kernel de Linux. También es interesante notar que 2 de las 3 vulnerabilidades eran vulnerabilidades de lógica y diseño en lugar de seguridad de la memoria”.

El proveedor de vigilancia comercial promovió las vulnerabilidades anteriores para comprometer los teléfonos Samsung.

Aunque Google no reveló el nombre del proveedor de vigilancia, el gigante tecnológico enfatizó las similitudes con otras campañas dirigidas a usuarios de Apple y Android en Italia y Kazajstán, que están vinculadas a la empresa italiana RCS Lab.

Stone señaló que los avisos publicados por Samsung en ese momento no mencionaban que las vulnerabilidades se estaban explotando activamente, pero desde entonces se comprometió a comenzar a divulgar cuando las vulnerabilidades se explotan activamente, continuando en las filas de Apple y Google, que revela vulnerabilidades que. bajo ataque en sus actualizaciones de seguridad.

“Es importante tanto para los usuarios objetivo como para la industria de la seguridad identificar cuándo se sabe que las vulnerabilidades se explotan en la naturaleza. Cuando los días 0 en estado salvaje no se exponen de manera transparente, ya no podemos usar esa información para proteger aún más a los usuarios, mediante el uso de análisis de parches y análisis de variantes, para comprender lo que los atacantes ya saben”, concluye la publicación del blog.

“El análisis de esta cadena de exploits nos brindó información nueva e importante sobre cómo los atacantes se dirigen a los dispositivos Android. Destaca la necesidad de seguir investigando los componentes específicos del fabricante. Muestra dónde deberíamos hacer más análisis de variables”.

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!