Google cho biết nhà cung cấp dịch vụ giám sát đã nhắm mục tiêu vào điện thoại Samsung bằng zero-day
|
Google tuyên bố có bằng chứng cho thấy một nhà cung cấp giám sát thương mại đang lợi dụng ba lỗ hổng bảo mật zero-day được phát hiện trong các điện thoại thông minh Samsung gần đây Các lỗ hổng liên kết cho phép kẻ tấn công giành được đặc quyền đọc và ghi kernel với tư cách là người dùng root, cuối cùng làm lộ dữ liệu của thiết bị và được tìm thấy trong phần mềm được xây dựng tùy chỉnh của Samsung và được sử dụng cùng nhau như một phần của chuỗi khai thác nhắm mục tiêu vào điện thoại Samsung chạy Android Điện thoại Samsung được bán với chip Exynos ưu việt trên khắp Châu Âu, Trung Đông và Châu Phi, nơi có khả năng là mục tiêu của sự giám sát và nhà nghiên cứu bảo mật Google Project Zero, Maddie Stone cho biết trong một bài đăng trên blog rằng chuỗi khai thác nhắm vào điện thoại Samsung Stone tuyên bố rằng S10, A50 và A51 nằm trong số các điện thoại thông minh Samsung chạy kernel có vấn đề vào thời điểm đó Một ứng dụng Android độc hại mà người dùng có thể đã bị lừa cài đặt từ bên ngoài cửa hàng ứng dụng, đã khai thác các lỗ hổng đã được sửa, cho phép kẻ tấn công truy cập vào phần còn lại của hệ điều hành của thiết bị và thoát khỏi hộp cát ứng dụng được thiết kế để chứa . Mặc dù ba lỗ hổng cho phép phân phối tải trọng cuối cùng, Stone nói rằng chỉ một phần của ứng dụng khai thác được lấy Theo Stone, các thành phần Java trong thiết bị Android không phải là mục tiêu phổ biến nhất của các nhà nghiên cứu bảo mật mặc dù chạy ở mức đặc quyền như vậy. "Lỗ hổng đầu tiên trong chuỗi này, tệp tùy ý đọc và ghi, là nền tảng của chuỗi này, được sử dụng bốn lần khác nhau và được sử dụng ít nhất một lần trong mỗi bước Google cố tình chọn không xác định nhà cung cấp dịch vụ giám sát thương mại, nhưng tuyên bố rằng việc khai thác tuân theo mô hình tương tự như các trường hợp lây nhiễm thiết bị gần đây, trong đó các ứng dụng Android bị lạm dụng để phát tán phần mềm gián điệp quốc gia mạnh Theo các nhà nghiên cứu bảo mật, Hermit được phát triển bởi RCS Lab và được sử dụng trong các cuộc tấn công có chủ đích của chính phủ, với các nạn nhân được biết đến ở Ý và Kazakhstan vào đầu năm nay. Hermit đánh cắp hỗ trợ lừa mục tiêu tải xuống và cài đặt ứng dụng độc hại, chẳng hạn như ứng dụng nhà cung cấp dịch vụ di động trá hình, từ bên ngoài cửa hàng ứng dụng, nhưng sau đó âm thầm đánh cắp danh bạ, bản ghi âm, ảnh, video và dữ liệu vị trí chung của nạn nhân. Ngoài việc nhắm mục tiêu cả chủ sở hữu Android và iPhone bằng các ứng dụng được tải sẵn độc hại, nhà cung cấp dịch vụ giám sát Connexxa cũng bắt đầu thông báo cho người dùng Android có thiết bị đã bị Hermit xâm phạm. Stone tuyên bố rằng Samsung đã cam kết bắt đầu tiết lộ khi các lỗ hổng được tích cực khai thác, theo sau Apple và Google, những công ty này cũng tiết lộ trong các bản cập nhật bảo mật của họ khi các lỗ hổng đang bị tấn công. Google đã báo cáo ba lỗ hổng được triển khai cho Samsung vào cuối năm 2020 và Samsung đưa ra các bản vá cho các điện thoại bị ảnh hưởng vào tháng 3 năm 2021 Stone tiếp tục cho biết: "Việc phân tích chuỗi khai thác này đã cho chúng tôi những hiểu biết mới và quan trọng về cách những kẻ tấn công đang nhắm mục tiêu vào các thiết bị Android", gợi ý rằng nghiên cứu bổ sung có thể phát hiện ra những lỗ hổng mới trong phần mềm tùy chỉnh do các nhà sản xuất thiết bị Android như Samsung tạo ra. Nó tiết lộ các lĩnh vực mà chúng ta nên tiến hành phân tích biến thể bổ sung và chỉ ra nhu cầu nghiên cứu thêm về các thành phần dành riêng cho nhà sản xuất, theo Stone Google cho biết họ có bằng chứng cho thấy một nhà cung cấp giám sát thương mại đang khai thác ba lỗ hổng bảo mật zero-day được tìm thấy trong các điện thoại thông minh Samsung mới hơn Các lỗ hổng, được phát hiện trong phần mềm tùy chỉnh của Samsung, đã được sử dụng cùng nhau như một phần của chuỗi khai thác nhằm vào điện thoại Samsung chạy Android. Các lỗ hổng liên kết cho phép kẻ tấn công có được các đặc quyền đọc và ghi kernel với tư cách là người dùng root và cuối cùng làm lộ dữ liệu của thiết bị Maddie Stone, nhà nghiên cứu bảo mật của Google Project Zero, cho biết trong một bài đăng trên blog rằng chuỗi khai thác nhắm vào điện thoại Samsung có chip Exynos chạy một phiên bản kernel cụ thể. Điện thoại Samsung được bán với chip Exynos chủ yếu trên khắp Châu Âu, Trung Đông và Châu Phi, nơi có khả năng là mục tiêu của sự giám sát. Stone cho biết các điện thoại Samsung chạy kernel bị ảnh hưởng vào thời điểm đó bao gồm S10, A50 và A51 Các lỗ hổng, kể từ khi được vá, đã bị khai thác bởi một ứng dụng Android độc hại mà người dùng có thể đã bị lừa cài đặt từ bên ngoài cửa hàng ứng dụng. Ứng dụng độc hại cho phép kẻ tấn công thoát khỏi hộp cát ứng dụng được thiết kế để chứa hoạt động của nó và truy cập vào phần còn lại của hệ điều hành của thiết bị. Stone cho biết, chỉ có một thành phần của ứng dụng khai thác được lấy, vì vậy không biết tải trọng cuối cùng là gì, ngay cả khi ba lỗ hổng mở đường cho việc phân phối cuối cùng của nó. “Lỗ hổng đầu tiên trong chuỗi này, tệp được đọc và ghi tùy ý, là nền tảng của chuỗi này, được sử dụng bốn lần khác nhau và được sử dụng ít nhất một lần trong mỗi bước,” Stone viết. Stone cho biết: “Các thành phần Java trong thiết bị Android không phải là mục tiêu phổ biến nhất của các nhà nghiên cứu bảo mật mặc dù nó chạy ở mức đặc quyền như vậy”. Google từ chối nêu tên nhà cung cấp giám sát thương mại, nhưng cho biết việc khai thác tuân theo mô hình tương tự như các vụ lây nhiễm thiết bị gần đây, nơi các ứng dụng Android độc hại bị lạm dụng để cung cấp phần mềm gián điệp quốc gia mạnh mẽ. Đầu năm nay, các nhà nghiên cứu bảo mật đã phát hiện ra Hermit, một phần mềm gián điệp Android và iOS được phát triển bởi RCS Lab và được sử dụng trong các cuộc tấn công nhắm mục tiêu của chính phủ, với các nạn nhân đã biết ở Ý và Kazakhstan. Hermit dựa vào việc lừa một mục tiêu tải xuống và cài đặt ứng dụng độc hại, chẳng hạn như ứng dụng hỗ trợ nhà cung cấp dịch vụ di động trá hình, từ bên ngoài cửa hàng ứng dụng, nhưng sau đó âm thầm đánh cắp danh bạ, bản ghi âm, ảnh, video và dữ liệu vị trí chi tiết của nạn nhân. Google bắt đầu thông báo cho người dùng Android có thiết bị bị Hermit xâm nhập. Nhà cung cấp giám sát Connexxa cũng đã sử dụng các ứng dụng được tải sẵn độc hại để nhắm mục tiêu cả chủ sở hữu Android và iPhone Google đã báo cáo ba lỗ hổng cho Samsung vào cuối năm 2020 và Samsung đã tung ra các bản vá cho các điện thoại bị ảnh hưởng vào tháng 3 năm 2021, nhưng không tiết lộ vào thời điểm đó rằng các lỗ hổng đang bị khai thác tích cực. Stone nói rằng Samsung đã cam kết bắt đầu tiết lộ khi các lỗ hổng bị khai thác tích cực, theo sau Apple và Google, những công ty này cũng tiết lộ trong các bản cập nhật bảo mật của họ khi các lỗ hổng đang bị tấn công. “Việc phân tích chuỗi khai thác này đã cung cấp cho chúng tôi những hiểu biết mới và quan trọng về cách những kẻ tấn công đang nhắm mục tiêu vào các thiết bị Android,” Stone nói thêm, gợi ý rằng nghiên cứu sâu hơn có thể phát hiện ra các lỗ hổng mới trong phần mềm tùy chỉnh do các nhà sản xuất thiết bị Android, như Samsung, xây dựng. “Nó nhấn mạnh nhu cầu nghiên cứu thêm về các thành phần cụ thể của nhà sản xuất. Nó chỉ ra nơi chúng ta nên phân tích biến thể sâu hơn,” Stone nói Google đã cảnh báo rằng một nhà cung cấp giám sát thương mại đang khai thác ba lỗ hổng bảo mật zero-day trong điện thoại thông minh mới của Samsung có thể bị khai thác để đánh cắp dữ liệu của người dùng Cả ba lỗ hổng đều nằm trong các thành phần tùy chỉnh của nhà sản xuất chứ không phải trong nền tảng Dự án nguồn mở Android (AOSP) hoặc nhân Linux Maddie Stone, Project Zero cho biết: “Thật thú vị khi lưu ý rằng 2 trong số 3 lỗ hổng là lỗ hổng logic và thiết kế thay vì an toàn bộ nhớ”. “Mặc dù chúng tôi hiểu rằng Samsung vẫn chưa chú thích bất kỳ lỗ hổng nào là tự nhiên, nhưng trong tương lai, Samsung đã cam kết chia sẻ công khai khi các lỗ hổng có thể bị khai thác có mục tiêu, hạn chế, như một phần trong ghi chú phát hành của họ,” Stone nói thêm trong một tuyên bố. "Chúng tôi hy vọng rằng, giống như Samsung, những người khác sẽ tham gia cùng các đồng nghiệp trong ngành của họ để tiết lộ khi có bằng chứng cho thấy lỗ hổng đang bị khai thác ngoài tự nhiên trong một trong các sản phẩm của họ" Nhóm phân tích mối đe dọa của Google (TAG) đã có được một chuỗi khai thác một phần cho các thiết bị Samsung mà họ tin rằng thuộc về một nhà cung cấp dịch vụ giám sát thương mại Nhóm nghiên cứu cho biết: “Cả 3 lỗ hổng đều nằm trong các thành phần tùy chỉnh của Samsung, bao gồm một lỗ hổng trong thành phần Java”. Mẫu khai thác nhắm vào điện thoại Samsung chạy kernel 4. 14. 113 với Exynos SOC "Điện thoại Samsung chạy một trong hai loại SOC tùy thuộc vào nơi chúng được bán. Ví dụ: điện thoại Samsung được bán ở Hoa Kỳ, Trung Quốc và một số quốc gia khác sử dụng Qualcomm SOC và điện thoại được bán ở hầu hết các nơi khác (ví dụ Châu Âu và Châu Phi) chạy Exynos SOC," nhóm Google cho biết Ví dụ về điện thoại Samsung đang chạy kernel 4. 14. 113 vào cuối năm 2020 (khi mẫu này được tìm thấy) bao gồm điện thoại thông minh S10, A50 và A51, nhóm cho biết thêm "Việc phân tích chuỗi khai thác này đã cung cấp cho chúng tôi những hiểu biết mới và quan trọng về cách những kẻ tấn công đang nhắm mục tiêu vào các thiết bị Android. Nó nhấn mạnh nhu cầu nghiên cứu thêm về các thành phần cụ thể của nhà sản xuất", Google cho biết --IANS na/ksk/ (Chỉ tiêu đề và hình ảnh của báo cáo này có thể đã được chỉnh sửa lại bởi nhân viên Business Standard; phần còn lại của nội dung được tạo tự động từ nguồn cấp dữ liệu tổng hợp. ) Đăng ký Business Standard PremiumCâu chuyện độc quyền, Bản tin được tuyển chọn, 26 năm Lưu trữ, Báo điện tử, v.v. Email không hợp lệ. Vui lòng bao gồm '@' trong địa chỉ email Đặt mua Tin tức sâu sắc, góc nhìn sắc nét, bản tin, báo điện tử, v.v. Mở khóa bình luận sâu sắc chỉ trên Business Standard |
