Спецпроекты

Телефоны Samsung последних лет можно взломать с помощью картинки

2439
ПО Софт Безопасность Стратегия безопасности Техника Маркет
Все выпущенные с 2014 г. смартфоны корпорации Samsung оказались уязвимы перед атакой с помощью специально подготовленных картинок. Доставив такое изображение на устройство жертвы через MMS злоумышленник мог затем выполнить на нем любой вредоносный код. Проблему зимой 2020 г. обнаружила известная группа Google Project Zero, а уже в мае южнокорейская компания выпустила исправление.

Шестилетняя брешь в смартфонах Samsung

Samsung, южнокорейский производитель смартфонов, исправил опасную уязвимость, присутствующую в гаджетах компании с 2014 г. Эксплуатация данной уязвимости позволяет злоумышленнику удаленно выполнить произвольный код на целевом устройстве, причем без участия и ведома пользователя, пишет издание ZDNet.

Проблема заключается в том, каким образом специальная сборка ОС Android для Samsung обрабатывает изображения формата Qmage (файлы с расширением .qmg), поддержка которого была реализована в 2014 г.

За обработку файлов этого формата отвечает специальная графическая библиотека Skia, в ее адрес автоматически перенаправляются все отправленные на устройство изображения. Обработка, в том числе необходимая для подготовки миниатюр, может протекать в фоновом режиме. Таким образом, злоумышленнику при определенных условиях достаточно доставить специальным образом подготовленную картинку на смартфон пользователя для получения контроля над ним.

Как это работает

На брешь в безопасности системы обратил внимание участник исследовательского ИБ-проекта Google Project Zero. Он подготовил код эксплойта и продемонстрировал его применение в связке с базовым для всех смартфонов Samsung приложением «Сообщения» (Samsung Messages) для обмена SMS и MMS.

По словам эксперта, чтобы воспользоваться ошибкой, сперва необходимо отправить несколько MMS-сообщений на устройство, чтобы определить положения библиотеки Skia в памяти гаджета. Это нужно для обхода Android ASLR (Address Space Layout Randomization, рандомизация адресного пространства) – особого механизма защиты ОС. Каждое последующее сообщение пыталось угадать текущий адрес Skia. Как только местоположение библиотеки становилось известным, на уязвимое устройство отправлялось MMS с «полезной нагрузкой», то есть с вредоносным кодом, который нужно выполнить на стороне пользователя.

Исследователь безопасности отмечает, что на осуществление атаки, как правило, уходит около 100 минут. За это время на смартфон жертвы доставляется от 50 до 300 мультимедийных сообщений. Атака может сопровождаться звуковыми уведомлениями, однако ее, как утверждает эксперт, можно провести и совершенно беззвучно, не привлекая внимания пользователя.

По словам специалиста, в теории возможна эксплуатация уязвимости с использованием любого приложения на смартфоне Samsung, способного принимать изображения Qmage, однако на практике это не проверялось.

Исправление уже доступно

Участник Google Project Zero обнаружил описанную уязвимость в конце января 2020 г. и незамедлительно сообщил о ней Samsung. Южнокорейский производитель присвоил ей идентификатор SVE-2020-16747, а в мае выпустил соответствующее исправление.

По информации ZDNet, уязвимости подвержены только устройства Samsung, поскольку только прошивка для них включает реализацию поддержки формата Qmage, разработанного другой южнокорейской компанией Quramsoft. Тем не менее, владельцы Android-устройств других фирм также не застрахованы от удаленных атак. Уязвимость CVE-2020-0103, эксплуатация которой дает хакерам полный контроль над устройством под управлением ОС Andoid, хоть и была недавно исправлена, но распространение патча пока идет крайне медленными темпами.

Другие находки Google Project Zero

Project Zero – это группа специалистов безопасности в Google, занимающаяся поиском уязвимостей нулевого дня. О ее формировании было объявлено в июле 2014 г.

В активе группы множество обнаруженных багов. В частности, летом 2019 г. эксперты Project Zero выявили в iOS версии 12.2 ошибку, позволяющую производить джейлбрейк. Ее исправили обновлением 12.3, но он снова появился в следующем обновлении системы, что также не ускользнуло от внимания группы.

В марте 2020 г. CNews писал об уязвимости, которую участники Project Zero выявили в модуле анализа и обработки скриптов Javascript популярного бесплатного антивируса Avast. Уязвимость могла быть использована для удаленного запуска произвольного кода в контексте антивируса; а поскольку главный процесс Avast – AvastSvc.exe – запускался с привилегиями SYSTEM, с теми же привилегиями мог быть запущен и вредоносный код. «Дыра» оказалась настолько опасной, что разработчики предпочли деактивировать уязвимый обработчик Javascript.