:

Szerző: Hlács Ferenc

2015. november 5. 17:14

Több mint tíz biztonsági rés volt a Samsung csúcstelefonjában

Tizenegy sebezhetőséget találtak a Samsung Galaxy S6 Edge készülékben a Google biztonsági szakértői. A Project Zero csapata a koreai gyártó saját kódjában találták a biztonsági hibákat, amelyek többségét a Samsung azóta orvosolta.

Rászabadultak a Google Project Zero kutatói a Samsung egyik idei csúcstelefonjára. A biztonsági szakértők a tavasszal megjelent Galaxy S6 Edge készüléket vették górcső alá, meglepő eredménnyel: a koreai gyártó készülékében nem kevesebb mint tizenegy komoly biztonsági problémát fedeztek fel.

A keresőóriás biztonsági kutatócsoportja azt akarta megvizsgálni, hogy a nem-Nexus, azaz nem a Google közvetlen felügyelete alá tartozó androidos eszközök biztonságára mekkora figyelmet fordítanak a készülékgyártók, mekkora erőfeszítést igényel egy-egy bug felfedezése az eszközökön. A vállalatok jellemzően hozzáadják a maguk részét az eredeti Android kódhoz, (minden jogosultsági szinten) ráadásul a biztonsági és szoftverfrissítésekért is ők felelnek - ezek a tényezők mind újabb potenciális rést jelentenek az Android pajzsán. A vizsgálat során azért esett a választás az S6 Edge-re, mert friss csúcsmodellről van szó, aránylag nagy számú felhasználóval.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

A Project Zero amerikai és európai csapata öt-öt fővel látott hozzá a vizsgálathoz, amely során igyekeztek olyan kérdésekre választ találni, amelyeket éles helyzetben a támadók is megcéloznának. A két csapat egymással versengve összesen 11 biztonsági rést tárt fel egy hét alatt.

Talán a legérdekesebb bugot a szakértők a WifiHs20UtilityService szolgáltatásban találták, a sebezhetőség így potenciálisan más Samsung eszközökön is jelen lehet. A szolgáltatás az sdcard/Download könyvtárban bármilyen, cred.zip névre hallgató fájlt beolvas, majd a /data/bundle-ben bont ki. A kibontáshoz használt API ugyanakkor nem hitelesíti a fájl helyét, így azt a potenciális támadók ismeretlen könyvtárba helyezhetik. A kutatók ezt egy a Chrome böngészőből automatikusan letöltődő fájllal használták ki - a módszerrel gyakorlatilag csak egy a támadáshoz készített weboldalra kell elcsalni a felhasználót, más interakcióra részéről nincs is szükség.

A Samsung saját fejlesztésű email kliense sem volt mentes a sebezhetőségektől, azon a szakértők mindjárt két gyenge pontot is találtak. Az első a szoftver egyik intent handler komponenséről lemaradt hitelesítésből adódott, amelyet kihasználva egy másik app ráveheti a klienst, hogy a tárolt leveleket továbbítsa egy megadott email címre, ráadásul mindezt különösebb emelkedett jogosultságok nélkül. Bár a támadás egyértelműen látható ha a felhasználó az elküldött levelekhez navigál, az így is komoly biztonsági kockázatot jelent. A kliens másik gyengéje az üzenetekbe ágyazott JavaScript: az így küldött kód végrehajtatható a szoftverben, elérhetővé téve a JavaScript sebezhetőségeit a rendszerben - igaz, egyelőre nem világos, hogy ez a nagyobb támadási felületen kívül pontosan milyen következményekkel jár.

A Project Zero két csapata a telefon drivereiben összesen három biztonsági rést talált: az első kettő puffertúlcsordulást idézett elő, míg a harmadikkal olyan memóriahibák voltak generálhatók, amelyeken keresztül akár kernelszintű jogosultságokat szerezhettek a behatolók. A csapatok mindezek mellett öt, a képfeldolgozás során megjelenő hibát is találtak, amelyekből három előhívásához meg sem kell nyitni a képeket, azok már a médiaszkennelés során felbukkannak. Az öt hiba a Samsung képnézegető alkalmazásával, illetve a médiaszkennelő folyamattal azonos jogosultságokat ad a támadónak.

A szakértők a hibákat felfedezésük után rögtön jelezték a koreai gyártó felé, a cég pedig azok közül nyolcat már az októberben kiküldött biztonsági frissítésében orvosolt, három, kevésbé súlyos sebezhetőséget pedig ígérete szerint novemberben foltoz majd be. A fentiek alapján tehát a plusz kód plusz veszélyt jelent, a gyártói biztonsági ellenőrzések hagynak kívánnivalót maguk után. Az ugyanakkor biztató, hogy a jelek szerint a Samsung gyorsan befoltozza a hibákat, tartva magát havi frissítési programhoz, amelyet a Google idén nyár végén indított, és amelyhez több gyártóval karöltve csatlakozott.

a címlapról