Google łata podatność 0day, która umożliwiała zdobycie Pegasusowi roota na większości modeli Androidów. Bug znany był 2 lata…

Coś dobrego dla fanów technicznej lektury, zawierającej jednak wątek sensacyjny. W rozbudowanym wpisie Google omawia swoje podejście do szukania błędów 0-days w Androidzie. Takich wykorzystywanych w realnych działaniach bojowych. No więc zaczyna się od hintu z końca lata 2019 roku, który otrzymała ekipa Google:

In late summer 2019, Google’s Threat Analysis Group (TAG), Android Security, and Project Zero team received information suggesting that NSO had a 0-day exploit for Android that was part of an attack chain that installed Pegasus spyware on target devices.

Izraleska NSO, używająca 0-daya jako element instalacji Pegasusa na Androidzie. Brzmi ciekawie. Google wyodrębniło kilka istotnych  informacji o exploicie, m.in:

• to błąd w jądrze OS (umożliwiający np. wyskoczenie z sandboksa Chrome)
• exploit w zasadzie nie wymaga dostosowania pod konkretny model telefonu (jest w miarę uniwersalny). Wśród podatnych modeli telefonów wymienia się: Pixel 1,2; kilka modeli Xiaomi; Samsung S7, S8, S9; Huawei P20; Oreo LG; Moto Z3 – przy czym sam Google zaznacza. że są to tylko przykłady
• podatność została załatana w jądrach Linuksa >= 4.14, ale nie przyznano numeru CVE (czyli nikt jakoś szeroko nie zwrócił uwagi na to, że może to być duży problem bezpieczeństwa)

Na tej podstawie udało się dojść do konkretnej podatności (CVE-2019-2215) i pokazać dokładnie sposób wykorzystania luki. Dziura została załata październikowym patch secie. Na koniec ciekawostka: podatność była znana od dwóch lat (załatano ją w jadrze Linuksa), ale z jakiegoś powodu łatka nie znalazła się w Androidzie:

CVE-2019-2215 permits attackers to fully compromise a device with only untrusted app access or a browser renderer exploit and despite the patch being available in the upstream Linux kernel, it was left unpatched in Android devices for almost 2 years. (…) Given the information in various public documents about the services that NSO Group provides, it seems most likely that this vulnerability was chained with either a browser renderer exploit or other remote capability.

Jak widać, luks była najprawdopodobniej wykorzystywana przez Pegasusa do otrzymania pełnego dostępu root na atakowanym Androidzie. Była też ona łączona z innymi podatnościami (np. w przeglądarkach) do otrzymania pełnej, zdalnej możliwości przejęcia telefonów.

Patrząc na długi okres, w którym podatność była wykorzystywana, można napisać: posiadacze licencji Pegasusa mogą spać spokojnie. Posiadacze telefonów (ach gdzie te patche?) mogą spać niezbyt spokojnie.

–ms