Silent Circle, производитель телефона Blackphone для пользователей, желающих обеспечить максимальную безопасность и приватность своих коммуникаций, закрыла уязвимость, которая позволяла в результате удаленной атаки или внедрения вредоносного приложения получить доступ к модему и выполнять различные несанкционированные действия.

Изготовитель устройства выпустил новую версию прошивки, 1.1.13, 7 декабря; подробности об уязвимости были опубликованы компанией SentinelOne, которая обнаружила баг в августе, предоставила информацию через платформу Bugcrowd и оказала помощь в разработке патча.

Blackphone использует мощное шифрование при обмене сообщениями через сервис Silent Text или при совершении звонков через сервис Silent Phone, что делает коммуникацию между абонентами недоступной ни для хакерских атак, ни для слежки.

Директор SentinelOne по исследованиям в области мобильных технологий Тим Страццере (Tim Strazzere) заявил, что обнаруженный баг представлял собой открытый сокет в оболочке радиомодуля; доступ к ней можно было получить на телефоне, с которым связывается демон agps_daemon. Уязвимость, получившая обозначение CVE-2015-6841, содержится в модеме Icera от nVidia, который используется в Blackphone. В мае прошлого года nVidia объявила о том, что прекращает производство модемов.

Страццере сказал, что при помощи вредоносного мобильного приложения или эксплойта известной Android-уязвимости Stagefright потенциальный злоумышленник мог посылать команды на радиомодуль смартфона.

Подобная уязвимость в Blackphone — большая неприятность для пользователей, которые ценят приватность и безопасность: эксплуатация дыры в модеме позволяет перенаправлять входящие звонки, заглушать телефон, а также незаметно посылать и читать SMS-сообщения.

«Если атакующий обманным путем заставит пользователя скачать вредоносное приложение, которое сообщается с открытым сокетом, он получит прямой доступ к модему устройства, — подчеркнул Страццере. — Приложению даже не понадобится запрашивать разрешения, что могло бы вызвать подозрения со стороны осведомленного пользователя. Злоумышленник получает полный контроль над модемом и доступ к данным, скрытым от чужих глаз».

По словам Страццере, ему неизвестно об атаках на обнаруженную уязвимость, но он нашел ее относительно легко — случайно наткнулся в ходе подготовки к тренингу на DEF CON.

В опубликованном отчете Страццере объяснил, как демон agps_daemon взаимодействует с модемом: «После того как мы открываем agps_daemon в IDA Pro, действие быстро получает подтверждение. Этот привилегированный процесс «слушает» сокет at_pal и «пишет» все, что получает из сокета, в порт ttySHM3, а его, в свою очередь, «слушает» радиомодуль. То есть таким образом мы получаем возможность напрямую сообщаться с модемом!»

Используемый в устройстве модем Icera в этом году будет полностью выведен из употребления. Страццере никогда раньше не слышал о нем и был очень удивлен тому, что эта модель используется в Blackphone. Открытый сокет, скорее всего, вообще не должен был использоваться в коммерческой версии смартфона.

«Скорее всего, разработчики оставили сокет открытым для отладки, — сказал Страццере. — Возможно, его должны были убрать после окончания предпродажного тестирования, но забыли».

Это упущение скомпрометировало один из самых защищенных смартфонов на рынке и поставило пользователей Blackphone под удар. Blackphone отнюдь не массовая модель. Ее предпочитают люди, беспокоящиеся о своей приватности или рискующие собственной безопасностью из-за рода деятельности в репрессивных странах. Наличие уязвимости позволяет применять различные методы эксплуатации помимо перехвата звонков или сообщений: эксперты SentinelOne утверждают, что злоумышленник, к примеру, может отследить местоположение базовых станций, в которых регистрируется телефон, или вообще вывести модем из строя, оставив жертву без связи.

Категории: Кибероборона, Уязвимости