Уязвимость в микропроцессорах, используемых в 60% Android-устройств, позволяет при определенных условиях захватить контроль над смартфоном или планшетом. По свидетельству Duo Labs, данная брешь кроется в механизме Qualcomm, обеспечивающем безопасную среду исполнения (Secure Execution Environment, QSEE), и может быть использована в связке с багом в многострадальном медиасервере Android.

Гэл Беньямини (Gal Beniamini), обнаруживший уязвимость QSEE (CVE-2015-6639),  подчеркнул, что она очень неприятна, так как затрагивает как ранние версии Android, так и новейшие Marshmallow. Google выпустила патч против эксплойта, однако, по оценке Duo, эту заплатку получила лишь малая часть Android-устройств.

Тем не менее прогноз исследователей оказался очень сдержанным: несмотря на то что уязвимости подвержены большинство Android-гаджетов, ситуация все же не столь серьезна, как в случае с аналогичной брешью в Stagefright. «Stagefright допускает удаленную атаку, для которой нужен лишь номер сотового телефона, — пишут эксперты в блоге компании. — В данном случае уязвимость требует распространения целевого кода через вредоносное приложение».

«По оценке самой Google, каждый двухсотый телефон содержит потенциально вредное приложение, — подчеркнул Кайл Лейди (Kyle Lady), специалист Duo Labs по исследованиям и разработке. — Эксплойт для QSEE использует комбинацию из двух разных уязвимостей и позволяет установить полный контроль над телефоном».

По словам Лейди, январская заплатка Google устранила эту проблему в устройствах Nexus и OEM-продуктах, однако, поскольку операторы сотовой связи обычно не спешат с раздачей патчей, 60% пользователей Android остались не защищенными от эксплойта QSEE. Кроме того, по оценке Duo, 27% Android-устройств слишком стары, чтобы получать ежемесячные патчи, и потому в принципе уязвимы. Новая брешь характерна для серийных чипсетов Qualcomm Snapdragon, используемых в Samsung Galaxy S5/S6, Motorola Droid Turbo и Google Nexus.

Эксплойт в данном случае использует функцию TrustZone ОС Android, которая обеспечивает переключение ядра между двумя «мирами» — нормальным (Normal World) и безопасным (Secure World). Qualcomm реализовала эту технологию как QSEE; поскольку эта среда может взаимодействовать с ядром безопасности, уязвимость в ней позволяет атакующему получить доступ к файловой системе TrustZone и системной памяти устройства.

«Если злоумышленнику удалось запустить код в Normal World, он может воспользоваться уязвимостью в медиасервере, чтобы проэксплуатировать приложение, работающее в Secure World, — поясняют исследователи. — В итоге атакующий сможет модифицировать ядро Linux в состоянии Normal World и скомпрометировать операционную систему для достижения цели, которую он преследует».

В своей блог-записи Лейди указал на конкретную уязвимость в Android Mediaserver, позволившую атакующему использовать права этого компонента для взаимодействия с QSEE. Рассмотренная экспертом атака требует наличия бреши в Mediaserver, эксплуатируемой с помощью вредоносного приложения. «Мы полагаем, что у атакующего была такая возможность, судя по тому, как часто в медиасервере находят и латают бреши критического и высокого уровня опасности», — пишут исследователи.

Как обнаружил Беньямини, после установления связи с QSEE атакующий может воспользоваться уязвимостью в доверенном приложении и использовать его права доступа к ядру, чтобы модифицировать память в состоянии Normal World. «В итоге атакующий сможет перехватить контроль над ядром устройства даже в том случае, если в ядре нет никакой уязвимости», — подтвердил Лейди.

Защиту от таких атак обеспечивает январский патч, ограничивающий доступ к сторонним магазинам Android-приложений. В BYOD-окружении можно также развернуть специализированное решение для управления мобильными устройствами (MDM), имеющими доступ к корпоративной сети.

Категории: Аналитика, Уязвимости