Сотни моделей мобильных устройств имеют существовавшую на протяжении пяти лет уязвимость Android, которой подвержены версии вплоть до Jelly Bean 4.3. Риск выше для устройств, на которых установлена устаревшая версия ОС; для более новых устройств, на которых установлена защита SE Android (Security Enhanced Linux), дела обстоят получше.

Уязвимость позволяет повысить привилегии и похитить SMS-сообщения и журнал звонков. Исследователи подразделения Mandiant Red Team компании FireEye обнаружили брешь CVE-2016-2060 в ПО Qualcomm, доступном на Code Aurora Forum.

Qualcomm уже закрыла уязвимость и еще в марте предоставила патч OEM-партнерам. Как и в случае с другими патчами для Android, производители устройств должны отправить соответствующее обновление владельцам устройств. Однако, как предупреждает Mandiant, возможно, не все смогут получить необходимый апдейт.  Уязвимые API, например, были обнаружены в git-репозитории от 2011 года, то есть коду уже пять лет, и он может использоваться на неизвестном количестве устройств.

«Из-за этого запатчить все уязвимые устройства будет очень трудно, если не невозможно», — подчеркнули эксперты Mandiant, отметив, что им неизвестно о существовании публичных эксплойтов.

О наличии бага специалисты в частном порядке сообщили в январе; как подчеркнули в Mandiant, Qualcomm оперативно отреагировала на отчет и пообещала предоставить решение проблемы в 90-дневный срок.

Исследователи объяснили, что уязвимость появилась из-за изъянов проверки ввода демона netd.

«Уязвимость возникла, когда Qualcomm представила новые API для системной службы network_manager, а затем — для демона netd, предполагающего дополнительные возможности подключения. Qualcomm уже внесла необходимые исправления в netd», — говорят в Mandiant.

Неясно, сколько именно устройств уязвимы. Чипсеты и коды Qualcomm широко используются в Android-устройствах, в том числе самых популярных.

«Чтобы иметь понятие о том, в скольких устройствах содержатся уязвимые API, учтем, что версия Android Gingerbread (2.3.x) была выпущена в 2011 году. Уязвимость подтверждена в устройствах под версиями Lollipop (5.0), KitKat (4.4) и Jelly Bean MR2 (4.3), код из Git-репозитория, на который мы ссылаемся в анализе, — это версия Ice Cream Sandwich MR1 (4.0.3)», — пишет Mandiant.

Для эксплуатации бага злоумышленнику нужно иметь физический доступ к устройству или обманом заставить пользователя загрузить эксплойт, скачав и запустив вредоносное приложение.

По мнению исследователей, маловероятно, что такое приложение вызовет подозрения у антивирусов — запрашиваемые им разрешения абсолютно тривиальны и типичны для миллионов легитимных приложений.

«На более старых устройствах вредоносное приложение может похитить базы SMS-сообщений и звонков, получить доступ в Интернет и совершить другие действия, предусмотренные с точки зрения радиоинтерфейса», — говорят в Mandiant.

Устройства поновее менее подвержены угрозе, но вредоносное приложение может модифицировать некоторые свойства системы.

«Масштаб ущерба от уязвимости зависит только от того, каким образом OEM-производитель использует свойства системы в Android», — резюмирует Mandiant. Подробности исследования команда экспертов опубликовала в блоге.

Категории: Главное, Уязвимости