Google łata dwie podatności pozwalające na dostęp do pamięci urządzenia Pixel

Developerzy GrapheneOS już w styczniu poinformowali opinię publiczną, że zgłosili do Google podatności w firmware Pixela. Ogłosili też, że podobne zgłoszenia zostaną wysłane odnośnie telefonów firmy Samsung. Google w swoim biuletynie informacyjnym dodał informację, że niektóre z tych podatności mogą być aktywnie wykorzystywane, jednak na niewielką skalę. O co chodzi? W kwietniowym zestawie łatek na telefony Google Pixel zostały poprawione 24 podatności w tym dwie skatalogowane pod numerami CVE-2024-29745 oraz CVE-2024-29748. 

GrapheneOS to system operacyjny bazujący na Androidzie, będący projektem open source. Jego głównym założeniem jest poprawienie bezpieczeństwa systemów mobilnych przez zastosowanie dodatkowych mechanizmów ochrony użytkowników oraz przejrzysty proces rozwoju (co będzie szczególnie ważne w kontekście ostatnich wydarzeń z xz). 

Rysunek 1. Notka w biuletynie bezpieczeństwa firmy Google (źródło: link) 

Pierwsza z naprawionych podatności dotyka bootloadera telefonu komórkowego. Zadaniem bootloadera jest sprawdzenie dostępnych nośników, załadowanie odpowiednich komponentów systemu operacyjnego (w tym przypadku Androida) do pamięci urządzenia oraz przekazanie kontroli do jądra systemu operacyjnego. W przypadku CVE-2024-29745 nie podano dokładnej przyczyny wystąpienia podatności. Jednak z informacji opublikowanych na forum dyskusyjnym GraphenOS wynika, że możliwe było wykorzystanie przez firmy oferujące usługi analizy śledczej telefonów komórkowych (takie jak Cellebrite, która pomogła w sprawie z San Bernardino) tego, że telefon znajduje się w stanie AFU (After First Unlock), czyli po reboocie został już raz odblokowany przez użytkownika przy pomocy PIN-u. Aby pozyskać informacje z urządzenia, jest ono w następnej kolejności rebootowane do fastboota, czyli trybu pracy urządzenia, w którym możliwe jest wprowadzanie zmian w oprogramowaniu telefonu (fastboot to też protokół komunikacji po USB). Na takim urządzeniu można wgrać np. nowy obraz systemu operacyjnego czy odblokować bootloader. Samo przełączenie urządzenia z AFU do fastboota nie daje oczywiście możliwości pozyskania zabezpieczonych danych, ale wykorzystanie bliżej nieokreślonych podatności w tym trybie umożliwia zdumpowanie pamięci urządzenia. Zaproponowane przez developerów GrapheneOS rozwiązanie to zerowanie pamięci podczas przechodzenia do trybu fastboot i dopiero wtedy zezwolenie na transmisję USB. 

Drugi błąd (CVE-2024-29748) z kolei umożliwia uzyskanie wyższych uprawnień (ang. elevation of privilege) w kontekście firmware Pixela. Możliwe jest przerwanie procesu resetowania urządzenia do ustawień fabrycznych, który to proces został uruchomiony przez API systemowe. Według developerów jest to kolejna podatność wykorzystywana do analizy śledczej urządzeń. 

Za swoje odkrycia firma została nagrodzona dwoma wypłatami w wysokości 5000$ i 3000$. Warto zauważyć, że opisane podatności, chociaż zgłoszone i naprawione w telefonach z rodziny Pixel, dotyczą szerokiego spektrum urządzeń mobilnych. Autorzy GrapheneOS obiecali wprowadzić takie funkcje jak wipe-without-reboot zanim zostanie to zaimplementowane w bazowym systemie od Google. Wszystkie mitygacje mają jeden cel – wprowadzenie danych użytkownika w stan “at rest”, co oznacza, że spoczywają zaszyfrowane w pamięci nieulotnej urządzenia. Dodatkowo firma opisała metody minimalizacji skutków ataków typu 0-day, przed którymi chce chronić swoich użytkowników. 

Systemy operacyjne telefonów komórkowych poczyniły w ostatnich latach wiele znaczących kroków w kontekście ochrony użytkowników, utrudniając tym samym np. proces analizy śledczej takich urządzeń. Należy jednak pamiętać, że tego typu “funkcje” nie były i nie są wykorzystywane tylko w celu przeprowadzenia badań do celów śledztw prowadzonych przez organy ścigania i wykorzystać je mógł każdy lokalny atakujący (lokalny, czyli posiadający fizyczny dostęp do telefonu). A to znaczy, że zgubienie czy kradzież telefonu niosły za sobą ryzyko odzyskania danych przez osoby niepowołane. To duży problem, bo przecież w dzisiejszych czasach to właśnie telefony stały się centrum życia użytkowników, przechowując nie tylko różnego rodzaju dane związane z życiem prywatnym, ale też te powiązane biznesem. 

~fc