Отладчик, оставленный в прошивке Android тайваньским производителем электроники Foxconn, можно использовать как бэкдор при наличии физического доступа к устройству.

Правоохранительные органы или криминалисты могли только мечтать о такой возможности для получения прав суперпользователя на целевом устройстве. На прошлой неделе исследователь Джон Сойер (Jon Sawyer) обнародовал брешь в системе безопасности Android, которую он нарек Pork Explosion («жирная возможность для развертывания», ≈ «подложить свинью») в знак протеста против манеры броско именовать уязвимости, не всегда этого заслуживающие (кстати, популистские мероприятия правительства американцы называют pork barrel, «казенный пирог»).

«Как физическая угроза она очень серьезна, настоящий конец игры, — говорит Сойер. — Использовать ее легко, и результат — полноценное исполнение кода на устройстве, даже если оно зашифровано или заблокировано. Криминалистические компании и блюстители правопорядка многое бы отдали, чтобы получить такую возможность».

Со слов эксперта, бэкдор крылся в загрузчике устройства, созданном Foxconn. Эта компания работает на контрактной основе, собирая мобильные телефоны и разрабатывая низкоуровневое ПО для прошивок. На настоящий момент данная уязвимость найдена в смартфонах двух вендоров — InFocus (M810) и Nextbit (Robin), однако Сойер полагает, что на самом деле список затронутых производителей намного длиннее.

При наличии доступа к устройству злоумышленник может подключиться к нему через USB, выполнять команды и получить шелл-доступ с правами root при отключенном SELinux, причем аутентификация для этого не потребуется. Таким образом, он получит возможность не только извлекать данные, сохраненные на запароленном или зашифрованном устройстве, но также провести брутфорс-атаку с целью раскрытия криптоключей или разблокировать загрузчик, не сбрасывая данные пользователя.

В своей записи Сойер привел хронологию событий, связанных с Pork Explosion. Брешь была обнаружена 31 августа, в тот же день исследователь сообщил о ней техническому директору Nextbit Майку Чаню (Mike Chan), а также попытался через специалистов по ИБ Android и спецпроект Qualcomm известить о проблеме Foxconn. Ранее Сойер, по его словам, уже имел опыт обращения в Foxconn по поводу уязвимостей, но ему ни разу не удалось установить контакт.

К сожалению, новая попытка исключения не составила. «Я связался с Google и Qualcomm, так как их ИБ-команды имеют более прочные взаимоотношения с Foxconn, — рассказывает исследователь. — Однако, насколько мне известно, Foxconn так и не откликнулась».

Nextbit тем временем подготовила патч для своих устройств, он был выпущен за день до публикации Сойера.

Эксплуатация Pork Explosion, согласно Сойеру, не требует больших усилий. «Просто вставляешь USB-разъем, запускаешь на компьютере программу, и через пять минут ты уже на скомпрометированном устройстве, — поясняет эксперт. — Причем с правами root и без всякого SELinux, который в режиме загрузки отключен. Внезапный откат до уровня 2011 года. Конец игры».

Сойер пишет, что совершил свое открытие, когда исследовал загрузчик смартфона Robin; он построен на основе стандартного загрузчика от Qualcomm (lk), кастомизированного Foxconn. Внимание исследователя привлекла команда на быструю загрузку (fastboot), которая ему «показалась неуместной». Утилита и протокол fastboot используются для коммуникаций с загрузчиком и для установки прошивки. Этот режим предусмотрен комплектом Android SDK, и устройство можно таким образом загрузить через USB, чтобы перепрошить разделы или файловую систему на устройстве.

Сойер создал кастомный клиент, поддерживающий команду на перезагрузку, которая запускала устройство в заводском тестовом режиме (FTM). В этом режиме утилита отладки Android (ADB) работает с привилегиями root, а SELinux отключен, что позволяет аутсайдеру скомпрометировать устройство в обход механизмов аутентификации. Все производители используют FTM, говорит исследователь, однако большинству из них в голову не придет запустить его в серию.

Сойер надеется, что намек, который он вложил в имя Pork Explosion, охладит всеобщее увлечение брендингом уязвимостей. «Мы только что стали свидетелями Quadrooter, четырех серьезных уязвимостей, однако они получили столь много [внимания общественности] из-за того, что на поверку это оказалось просто еще одной уязвимостью ядра, — сетует исследователь. — Ничего особенного в этом не было, как и в данном случае. Да, такое случается. Уязвимости заслуживают внимания, их нужно устранять, но они не нуждаются в том, чтобы их пиарили какие-то компании. Это просто способ запугать потребителя».

Категории: Аналитика, Главное, Уязвимости