Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Za pomocą MMS-ów można przejąć wszystkie telefony Samsunga wyprodukowane od 2015 roku! W akcji nasz rodak j00ru

06 maja 2020, 20:06 | Aktualności | komentarzy 21
Tagi: ,

Zobaczcie tutaj:

Today I’m happy to release new research I’ve been working on for a while: 0-click RCE via MMS in all modern Samsung phones (released 2015+), due to numerous bugs in a little-known custom „Qmage” image codec supported by Skia on Samsung devices.

Exploita nie wymagającego żadnej interakcji ofiary można w działaniu zobaczyć tutaj:

W wyniku działania exploitu dostajemy zdalnego shella na telefonie. Na filmie j00ru zaprezentował następne możliwe kroki, np.: czytanie SMSów, odczyt zdjęć czy odpalanie appek na telefonie ofiary (jako przykład został użyty kalkulator), ale autor badania wspomina również że w trakcie jego testów był dostęp do kontaktów, mikrofonu czy historii rozmów:

In the case of my demo, that’s Samsung Messages, which has access to a variety of personal user information: call logs, contacts, microphone, storage, SMS etc.

J00ru przetestował następujące kombinacje telefonów/wersji Androida:

1. Galaxy Note 4 (Android 4.4.4, Sep 2014)
2. Galaxy Note Edge (Android 4.4.4, Nov 2014 – Dec 2014)
3. Galaxy Note Edge (Android 5.0.1, Mar 2015 – Jun 2015)
4. Galaxy Core Prime (Android 5.1.1, Aug 2015)
5. Galaxy Note 5 (Android 5.1.1, Aug 2015)
6. Galaxy Note 4 (Android 5.1.1, Oct 2015)
7. Galaxy Note 3 (Android 5.0, Jan 2016)
8. Galaxy S7 (Android 6.0.1, Feb 2016)
9. Galaxy Note 5 (Android 6.0.1, Feb 2016)
10. Galaxy S7 (Android 7, Jan 2017)
11. Galaxy Note 5 (Android 7, Mar 2017)
12. Galaxy S8 (Android 7, Apr 2017)
13. Galaxy S8 (Android 8, Feb 2018)
14. Galaxy S7 (Android 8, Apr 2018)
15. Galaxy S9 (Android 8, Apr 2018)
16. Galaxy S8 (Android 9, Feb 2019)
17. Galaxy S9 (Android 9, Apr 2019)
18. Galaxy A50 (Android 9, Oct 2019)
19. Galaxy Note 10+ (Android 9, Nov 2019 – Dec 2019)
20. Galaxy Note 10+ (Android 10, Jan 2020)

Choć dodaje, że najprawdopodobniej każdy telefon Samsunga wypuszczony w okolicach końca 2014 roku jest dotknięty jakimś wariantem tej podatności:

I understand that all Samsung Android devices released since late 2014 / early 2015 up to today’s flagships are affected by some or all of the Qmage-related bugs.

Jaka jest istota tego błędu? Na Androidzie do wyświetlania obrazków wykorzystywana jest biblioteka skia. Czy to ona jest właśnie podatna? Tak, ale w dość specyficzny sposób. Samsung bowiem uzupełnił ją o obsługę dodatkowych formatów plików (poza standardowymi typu: bnp, jpg, png, gif czy webp. Te formaty to m.in. dość egzotyczne: QM oraz QG.

W takich przypadkach można spróbować przegotować nieco nieprawidłowe/dziwne pliki QM/QG i zobaczyć jak je przetworzy biblioteka (w skrócie – wykorzystać fuzzing). Łatwo powiedzieć, nieco trudniej zrealizować. W każdym razie po dość intensywnej pracy, j00ru zlokalizował aż 5218 crashy biblioteki. Dalej wystarczyło „tylko” (czytaj: wiele tygodni pracy) znaleźć te prowadzące do sensownych podatności klasy buffer overflow i przygotować exploita, który dodatkowo będzie omijał androidowy ASLR.

Więcej szczegółów (w tym FAQ) dostępnych jest tutaj.

Samsung załatał problem w majowym patchu (temat oznaczony jest jako: SVE-2020-16747: Memory corruption in Quram library with decoding qmg – oczywiście z dopiskiem: Critical)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. ciekawski

    To tylko smartfonów dotyczy? A co z „dumbfonami”, któ©e umieją tylko w SMS?

    Odpowiedz
    • JN

      Biorąc pod uwagę, że potrzebna jest biblioteka do analizy obrazków, to można wywnioskować, że jak dostaniesz sms’em ascii art, to też zostaniesz zarażony.

      Odpowiedz
    • Imię

      W ogóle czytasz to co wysyłasz?

      Odpowiedz
  2. Filip

    I co po tym paczu, jak wiekszosc androidow to romy od operatorow, aktulizowane 12 miesiecy albo w ogole:(

    Odpowiedz
    • Marcin

      To po co kupujesz u operatorów… Kupiłem note 8 w normalnym sklepie i dostaje co miesiąc aktualizacje

      Odpowiedz
    • Tom

      Gdyby nie wydali mieli by stratę wizerunkowa firmy.

      Odpowiedz
    • Waldas

      Najnowsze aktualizacje do telefonów są wypuszczane tylko trzeba je wgrać kablem

      Odpowiedz
  3. Łukasz

    Ciekawe ile z wymienionych aparatów dostanie ową łatkę :)

    Odpowiedz
    • owca beebee fapple

      Ciekawe ilu zostanie zaatakowanych ludzi, niech zgadne, coś kolo 0,1% i do tego w Chinach ?

      Odpowiedz
  4. septem

    Tak to jest jak się daje aplikacjom w telefonie dostęp do wszystkiego. Ja obligatoryjnie w każdym moim nowym telefonie wyłączam aplikacjom jak najwięcej dostępów się da. Nie używam też backdora jakim jest usługa Play włączając ją tylko na czas instalacji jakiś apek których staram się mieć jak najmniej.

    Odpowiedz
    • Jendrej

      Akurat bardzo nie na temat się wypowiadasz, w ogóle nie przeczytawszy artykułu. Wyłączenie aplikacjom dostępu nic nie da, a luki w oprogramowaniu będą zawsze, bo jest ono tworzone przez ludzi, którzy doskonali nie są i nie są w stanie przewidzieć wszystkich ewentualności. A czasem i naklepią coś po łebkach bez sprawdzenia.

      Odpowiedz
  5. Seb

    Samsung załatał, ale póki co w modelach od rocznika 2018. Reszta trochę musi poczekać. Pewnie prawie 3 miesiące.

    Odpowiedz
  6. Artur

    Skro błąd jest w bibliotece służącej do wyświetlania obrazków, to w jaki sposób w załączonym filmie został uzyskany dostęp, skoro na telefonie nawet nie podjęto próby wyświetlenia otrzymanych MMSów? Czy zmiana domyślnej aplikacji obsługującej wiadomości na inną może tu pomóc?

    Odpowiedz
    • Wcześniej zapewne występuje jakieś przetworzenie tych obrazków libką -> One easy way to mitigate against attackers using exploits delivered specifically through MMS is to disable the „auto retrieve” option for multimedia messages in the Messages app.

      Odpowiedz
  7. XDD

    Tak można każdy telefon obejść kekw

    Odpowiedz
  8. Rost

    Respect.

    Odpowiedz
  9. Jacek

    Ten kolo nie ma nawet ceha, cehu, ceh

    Odpowiedz
    • Imie

      Ta… bo CEH co Ci daje do Twojej wiedzy…?

      Odpowiedz
  10. Hejesz

    W jaki sposób wybieracie między określeniem badacz, rodak, polak? Dostrzegam pewien schemat lol

    Odpowiedz
    • random ;)

      Odpowiedz
    • 3xhcker

      Sądzę że prawidłowe byłoby określenie „obywatel badacz”.

      Odpowiedz

Odpowiedz