Laut Google hat der Überwachungsanbieter Samsung-Telefone mit null Tagen ins Visier genommen
Google behauptet, Beweise dafür zu haben, dass ein kommerzieller Anbieter von Überwachungslösungen drei Zero-Day-Sicherheitslücken ausnutzt, die in neuen Samsung-Smartphones gefunden wurden.
Die Schwachstellen, die in Samsungs benutzerdefinierter Software entdeckt wurden, wurden zusammen als Teil einer Exploit-Kette verwendet, um auf Samsung-Telefone mit Android abzuzielen. Die verketteten Sicherheitslücken ermöglichen es einem Angreifer, als Root-Benutzer Lese- und Schreibrechte für den Kernel zu erlangen und letztendlich die Daten eines Geräts offenzulegen.
Die Sicherheitsforscherin von Google Project Zero, Maddie Stone, sagte in einem Blogbeitrag, dass die Exploit-Kette auf Samsung-Telefone mit einem Exynos-Chip abzielt, auf denen eine bestimmte Version des Kernels läuft. Samsung-Telefone werden mit Exynos-Chips hauptsächlich in Europa, dem Nahen Osten und Afrika verkauft, wo sich die Überwachungsziele wahrscheinlich befinden.
Stone sagte, Samsung-Telefone, auf denen der betroffene Kernel zu der Zeit lief, seien das S10, A50 und A51.
Die seit dem Patch behobenen Fehler wurden von einer bösartigen Android-App ausgenutzt, zu deren Installation der Benutzer möglicherweise außerhalb des App Store verleitet wurde. Die bösartige App ermöglicht es dem Angreifer, der App-Sandbox zu entkommen, die dazu dient, seine Aktivitäten einzudämmen, und Zugriff auf das restliche Betriebssystem des Geräts zu erhalten. Laut Stone wurde nur eine Komponente der Exploit-Anwendung beschafft, daher ist unklar, was die endgültige Nutzlast war, obwohl die drei Sicherheitslücken den Weg für ihre letztendliche Bereitstellung geebnet haben.
„Die erste Schwachstelle in dieser Kette, das willkürliche Lesen und Schreiben von Dateien, war die Grundlage dieser Kette, die viermal und in jedem Schritt mindestens einmal verwendet wurde“, schrieb Stone. „Die Java-Komponenten von Android-Geräten sind im Allgemeinen nicht die beliebtesten Ziele für Sicherheitsforscher, obwohl sie auf einer so privilegierten Ebene arbeiten“, sagte Stone.
Google lehnte es ab, den Namen des kommerziellen Überwachungsanbieters zu nennen, sagte jedoch, dass der Exploit einem ähnlichen Muster folgt wie kürzlich erfolgte Geräteinfektionen, bei denen bösartige Android-Apps missbraucht wurden, um leistungsstarke heimische Spyware bereitzustellen.
Anfang dieses Jahres entdeckten Sicherheitsforscher Hermit-, Android- und iOS-Spyware, die von RCS Lab entwickelt und bei gezielten Regierungsangriffen mit bekannten Opfern in Italien und Kasachstan verwendet wurde. Hermit verlässt sich darauf, ein Ziel dazu zu bringen, die bösartige App herunterzuladen und zu installieren, z. B. eine getarnte Support-App für Mobilfunkanbieter, von außerhalb des App Store, stiehlt dann aber heimlich die Kontakte, Audioaufnahmen, Fotos, Videos und detaillierten Standortdaten eines Opfers. Google hat damit begonnen, Android-Nutzer zu benachrichtigen, deren Geräte von Hermit kompromittiert wurden. Auch der Anbieter von Überwachungslösungen Connexxa hat heruntergeladene bösartige Apps verwendet, um sowohl Android- als auch iPhone-Besitzer anzugreifen.
Google hat Samsung Ende 2020 die drei Sicherheitslücken gemeldet, und Samsung hat im März 2021 Patches für betroffene Telefone bereitgestellt, aber zu diesem Zeitpunkt nicht offengelegt, dass die Sicherheitslücken aktiv ausgenutzt wurden. Stone sagte, Samsung habe sich seither verpflichtet, aktiv ausgenutzte Schwachstellen offenzulegen, gefolgt von Apple und Google, die in ihren Sicherheitsupdates auch die angegriffenen Schwachstellen offenlegen.
„Die Analyse dieser Exploit-Kette hat uns wichtige neue Einblicke darüber gegeben, wie Angreifer auf Android-Geräte abzielen“, fügte Stone hinzu und deutete an, dass weitere Forschung neue Sicherheitslücken in Software aufdecken könnte – Anpassungen, die von Herstellern von Android-Geräten wie Samsung erstellt wurden.
"Dies unterstreicht den Bedarf an weiterer Forschung zu herstellerspezifischen Komponenten. Dies zeigt, wo wir eine eingehendere Analyse der Varianten durchführen müssen", sagte Stone.
Google behauptet, Beweise dafür zu haben, dass ein kommerzieller Anbieter von Überwachungslösungen drei Zero-Day-Sicherheitslücken ausnutzt, die in neuen Samsung-Smartphones gefunden wurden.
Die Schwachstellen, die in Samsungs benutzerdefinierter Software entdeckt wurden, wurden zusammen als Teil einer Exploit-Kette verwendet, um auf Samsung-Telefone mit Android abzuzielen. Die verketteten Sicherheitslücken ermöglichen es einem Angreifer, als Root-Benutzer Lese- und Schreibrechte für den Kernel zu erlangen und letztendlich die Daten eines Geräts offenzulegen.
Die Sicherheitsforscherin von Google Project Zero, Maddie Stone, sagte in einem Blogbeitrag, dass die Exploit-Kette auf Samsung-Telefone mit einem Exynos-Chip abzielt, auf denen eine bestimmte Version des Kernels läuft. Samsung-Telefone werden mit Exynos-Chips hauptsächlich in Europa, dem Nahen Osten und Afrika verkauft, wo sich die Überwachungsziele wahrscheinlich befinden.
Stone sagte, Samsung-Telefone, auf denen der betroffene Kernel zu der Zeit lief, seien das S10, A50 und A51.
Die seit dem Patch behobenen Fehler wurden von einer bösartigen Android-App ausgenutzt, zu deren Installation der Benutzer möglicherweise außerhalb des App Store verleitet wurde. Die bösartige App ermöglicht es dem Angreifer, der App-Sandbox zu entkommen, die dazu dient, seine Aktivitäten einzudämmen, und Zugriff auf das restliche Betriebssystem des Geräts zu erhalten. Laut Stone wurde nur eine Komponente der Exploit-Anwendung beschafft, daher ist unklar, was die endgültige Nutzlast war, obwohl die drei Sicherheitslücken den Weg für ihre letztendliche Bereitstellung geebnet haben.
„Die erste Schwachstelle in dieser Kette, das willkürliche Lesen und Schreiben von Dateien, war die Grundlage dieser Kette, die viermal und in jedem Schritt mindestens einmal verwendet wurde“, schrieb Stone. „Die Java-Komponenten von Android-Geräten sind im Allgemeinen nicht die beliebtesten Ziele für Sicherheitsforscher, obwohl sie auf einer so privilegierten Ebene arbeiten“, sagte Stone.
Google lehnte es ab, den Namen des kommerziellen Überwachungsanbieters zu nennen, sagte jedoch, dass der Exploit einem ähnlichen Muster folgt wie kürzlich erfolgte Geräteinfektionen, bei denen bösartige Android-Apps missbraucht wurden, um leistungsstarke heimische Spyware bereitzustellen.
Anfang dieses Jahres entdeckten Sicherheitsforscher Hermit-, Android- und iOS-Spyware, die von RCS Lab entwickelt und bei gezielten Regierungsangriffen mit bekannten Opfern in Italien und Kasachstan verwendet wurde. Hermit verlässt sich darauf, ein Ziel dazu zu bringen, die bösartige App herunterzuladen und zu installieren, z. B. eine getarnte Support-App für Mobilfunkanbieter, von außerhalb des App Store, stiehlt dann aber heimlich die Kontakte, Audioaufnahmen, Fotos, Videos und detaillierten Standortdaten eines Opfers. Google hat damit begonnen, Android-Nutzer zu benachrichtigen, deren Geräte von Hermit kompromittiert wurden. Auch der Anbieter von Überwachungslösungen Connexxa hat heruntergeladene bösartige Apps verwendet, um sowohl Android- als auch iPhone-Besitzer anzugreifen.
Google hat Samsung Ende 2020 die drei Sicherheitslücken gemeldet, und Samsung hat im März 2021 Patches für betroffene Telefone bereitgestellt, aber zu diesem Zeitpunkt nicht offengelegt, dass die Sicherheitslücken aktiv ausgenutzt wurden. Stone sagte, Samsung habe sich seither verpflichtet, aktiv ausgenutzte Schwachstellen offenzulegen, gefolgt von Apple und Google, die in ihren Sicherheitsupdates auch die angegriffenen Schwachstellen offenlegen.
„Die Analyse dieser Exploit-Kette hat uns wichtige neue Einblicke darüber gegeben, wie Angreifer auf Android-Geräte abzielen“, fügte Stone hinzu und deutete an, dass weitere Forschung neue Sicherheitslücken in Software aufdecken könnte – Anpassungen, die von Herstellern von Android-Geräten wie Samsung erstellt wurden.
"Dies unterstreicht den Bedarf an weiterer Forschung zu herstellerspezifischen Komponenten. Dies zeigt, wo wir eine eingehendere Analyse der Varianten durchführen müssen", sagte Stone.
What's Your Reaction?
