На этой неделе Samsung подтвердил наличие 21 уязвимости в системе безопасности, которые затрагивают флагманские смартфоны Galaxy S8, S9, S10, S10e, S10+, S10+ 5G, Note9, Note10 и Note 10+. Обнаружены критические уязвимости, 3 из которых представляют особую опасность и имеют отношение непосредственно к операционной системе Android от Google. В сообщении говорится, что в общей сложности уязвимости затрагивают более 40 миллионов устройств вышеуказанных моделей.
Распространение исправлений производитель начал 8 октября. Обладателям смартфонов Samsung упомянутых моделей рекомендуется обновить ПО как можно быстрее. Кроме того, октябрьский пакет обновлений безопасности от Samsung включает в себя исправление уязвимостей Android, затрагивающих смартфоны Galaxy 10 и некоторые более ранние модели этой серии.
На сегодняшний день Samsung реализовал 30 миллионов устройств Galaxy S9 и порядка 10 миллионов Note9, поэтому количество пользователей, которые могут столкнуться с проблемами безопасности, выглядит весьма впечатляюще. Несмотря на то, что после установки обновлений изредка возникают затруднения в работе устройств, затягивать с апдейтом нельзя, так как устройство остаётся уязвимым перед злоумышленниками. После того, как о какой-либо проблеме в системе безопасности смартфонов становится известно широким массам, обычно активизируются хакеры, стараясь как можно быстрее воспользоваться ситуацией, то есть ещё до того момента, как все пользователи успеют обновить ПО.
Помимо Samsung примерно те же проблемы возникли у смартфонов производства Google (Pixel), а также у Huawei, Xiaomi, Oppo, Moto и других китайских вендоров, которые используют Android. Уязвимости обнаружены и в смартфонах LG, работающих на Android Oreo.
Всё началось с того, что аналитики из команды Google Project Zero обнаружили в ядре Android опасный баг, перед которым уязвимы многие устройства под управлением указанной ОС. По информации исследователей, эта уязвимость нулевого дня уже находится под атаками. Проблема может помочь злоумышленнику получить root-доступ к целевому устройству.
Изначально эта уязвимость была исправлена в ядре 4.14 LTS Linux ещё в декабре 2017 года. Это исправление вошло в ядра Android 3.18, 4.14, 4.4 и 4.9, однако более новые версии по какой-то причине остались уязвимыми. В итоге баг по-прежнему может представлять угрозу для новых моделей Android-устройств под управлением Android 8.x и выше.
Хуже того, эксперты пишут, что эксплойт для уязвимости, которая теперь носит идентификатор CVE-2019-2215, достаточно универсален, чтобы подойти для многих моделей смартфонов. Достаточно лишь внести небольшие изменения в коде.
Сотрудники Google полагали, что обнаруженный ими эксплойт для CVE-2019-2215 – дело рук небезызвестной израильской компании NSO Group.
NSO Group была основана в 2010 году и с тех пор занимается разработкой различной легальной малвари, которую, наряду с экплойтами для различных 0-day, продаёт правительствам и спецслужбам по всему миру. Широкую известность компания получила в 2016-2017 годах, когда специалисты по информационной безопасности обнаружили мощные шпионские инструменты Pegasus и Chrysaor, разработанные NSO Group и предназначенные для iOS и Android.
Сотрудники известного сетевого издания ZDNet и других СМИ уже обратились за разъяснениями к израильской компании, где им ответили, что не имеют к эксплойту никакого отношения:
«NSO Group не продавала и никогда не будет продавать эксплойты или уязвимости. Данный эксплойт не имеет никакого отношения к NSO, а наша работа сосредоточена на создании продуктов, предназначенных для лицензированных разведслужб и правоохранительных органов, которые спасают жизни».
К счастью, есть и относительно хорошие новости. Свежий 0-day всё же не получил статус наиболее опасного, так как это не RCE-уязвимость, которую можно было бы использовать без взаимодействия с пользователем. Для эксплуатации этой проблемы нужно соблюсти ряд условий. Например, злоумышленнику понадобится установить на целевое устройство вредоносное приложение для эксплуатации бага. Любые другие векторы атак, например, через браузер, потребуют создания цепочки эксплойтов с применением других, дополнительных уязвимостей.
Патч для проблемы нулевого дня уже доступен на Android Common Kernel. Смартфоны Pixel 1 и 2 должны получить исправления для этой уязвимости в рамках октябрьского обновления.
Тем не менее, всё это в очередной раз подтверждает наше мнение о том, что крупные производители электроники должны иметь собственные операционные системы и самостоятельно обслуживать их, а не полагаться на сторонние решения, что, в конечном итоге, может привести к весьма печальным последствиям.
Zero-day exploits found in Android VoIP
Researchers have found no less than nine zero-day vulnerabilities in how Android handles VoIP in its more recent versions.
The researchers stated that most security investigations focus on network infrastructure and apps, whereas they decided to look at Android’s VoIP integration.
What they found were flaws that could allow a malicious user to:
* Deny voice calls
* Spoof the caller ID
* Make unauthorized call operations
* Remotely execute code
The main problem areas were the VoLTE and VoWiFi functions of Android.
The researchers submitted their findings to Google, who confirmed them with bug bounty awards.
The flaws were discovered through a novel combination of on-device Intent/API fuzzing, network-side packet fuzzing, and targeted code auditing.
They discovered that the problems were present from Android version 7.0 to the more recent 9.0, two-thirds of which could be exploited by a network-side adversary due to incompatible processing between VoIP and PSTN calls.
According to the researchers, the security consequences of the vulnerabilities are "serious", though Google is shortly expected to release a patch.
However, it's not the first time VoIP vulnerabilities have made the headlines in recent weeks. A report last month found that telecoms giant Avaya had failed to apply a patch to a known vulnerability in its own phone system, even though it was made available 10 years ago.
Android security woes
The news comes only days after Techradar reported on a zero-day exploit in the Android kernel, which could allow a malicious hacker to gain root access to Android phones.
This vulnerability was patched in Android, kernel versions 3.18, 4.14, 4.4 and 4.9, but not in more recent ones.
The problem for users is that Google's Threat Analysis Group (TAG) confirmed that this vulnerability had already been used in real-world attacks. However, it does require a malicious app to already be installed and running on the user's phone.
All this once again confirms our opinion that large manufacturers of mobile devices should have their own operating systems and service them independently, and not rely on third-party solutions, which, ultimately, can lead to very sad consequences.
