Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Google łata podatność 0day, która umożliwiała zdobycie Pegasusowi roota na większości modeli Androidów. Bug znany był 2 lata…

22 listopada 2019, 10:31 | Aktualności | komentarzy 6

Coś dobrego dla fanów technicznej lektury, zawierającej jednak wątek sensacyjny. W rozbudowanym wpisie Google omawia swoje podejście do szukania błędów 0-days w Androidzie. Takich wykorzystywanych w realnych działaniach bojowych. No więc zaczyna się od hintu z końca lata 2019 roku, który otrzymała ekipa Google:

In late summer 2019, Google’s Threat Analysis Group (TAG), Android Security, and Project Zero team received information suggesting that NSO had a 0-day exploit for Android that was part of an attack chain that installed Pegasus spyware on target devices.

Izraleska NSO, używająca 0-daya jako element instalacji Pegasusa na Androidzie. Brzmi ciekawie. Google wyodrębniło kilka istotnych  informacji o exploicie, m.in:

  • to błąd w jądrze OS (umożliwiający np. wyskoczenie z sandboksa Chrome)
  • exploit w zasadzie nie wymaga dostosowania pod konkretny model telefonu (jest w miarę uniwersalny). Wśród podatnych modeli telefonów wymienia się: Pixel 1,2; kilka modeli Xiaomi; Samsung S7, S8, S9; Huawei P20; Oreo LG; Moto Z3 – przy czym sam Google zaznacza. że są to tylko przykłady
  • podatność została załatana w jądrach Linuksa >= 4.14, ale nie przyznano numeru CVE (czyli nikt jakoś szeroko nie zwrócił uwagi na to, że może to być duży problem bezpieczeństwa)

Na tej podstawie udało się dojść do konkretnej podatności (CVE-2019-2215) i pokazać dokładnie sposób wykorzystania luki. Dziura została załata październikowym patch secie. Na koniec ciekawostka: podatność była znana od dwóch lat (załatano ją w jadrze Linuksa), ale z jakiegoś powodu łatka nie znalazła się w Androidzie:

CVE-2019-2215 permits attackers to fully compromise a device with only untrusted app access or a browser renderer exploit and despite the patch being available in the upstream Linux kernel, it was left unpatched in Android devices for almost 2 years. (…) Given the information in various public documents about the services that NSO Group provides, it seems most likely that this vulnerability was chained with either a browser renderer exploit or other remote capability.

Jak widać, luks była najprawdopodobniej wykorzystywana przez Pegasusa do otrzymania pełnego dostępu root na atakowanym Androidzie. Była też ona łączona z innymi podatnościami (np. w przeglądarkach) do otrzymania pełnej, zdalnej możliwości przejęcia telefonów.

Patrząc na długi okres, w którym podatność była wykorzystywana, można napisać: posiadacze licencji Pegasusa mogą spać spokojnie. Posiadacze telefonów (ach gdzie te patche?) mogą spać niezbyt spokojnie.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Mike

    pewnie juz jest nowy bug dajacy dostep wiec mozna stary zalatac

    Odpowiedz
    • ano

      lgtm ^^

      Odpowiedz
    • Nobody

      I tak to działa :)

      Odpowiedz
  2. gosc

    No z tymi latkami bezpieczenstwa powinno zostac wyjasnione bo o bardzo podobnym przypadku bylo glosno w Cisco.
    Latka w Cisco zostala wykupiona przez jakas jednostke rzadu USA, wiec nie pokazala sie w aktualizacji az wyszla na jaw poraz kolejny.
    A to z kolei przy powyzszym wpisie daje pod znakiem pytania stopien bezpieczenstwa kernala linuxa.

    Odpowiedz
  3. kamil

    Przyzwyczajmy się raczej do tego, że bezpieczeństwa jako takiego już nie ma i nie będzie- przynajmniej w aplikacjach komercyjnych. Bo komu na tym zależy? tylko Kowalskiemu…

    Odpowiedz
    • Jaroslawjujuż

      Ale do kodu mamy dostęp wszyscy więc Kowalski może poprawić i wystawić pull requesta

      Odpowiedz

Odpowiedz