Urządzenia z Androidem Qualcomm cierpiące na cztery usterki rootowania

Setki milionów urządzeń z Androidem opartych na chipsetach Qualcomm są prawdopodobnie narażone na co najmniej jedną z czterech krytycznych luk, które umożliwiają przejęcie ich przez nieuprawnione aplikacje.

Cztery wady zostały przedstawione przez analityka bezpieczeństwa Adama Donenfelda z firmy Check Point Software Technologies w niedzielę podczas konferencji bezpieczeństwa DEF CON w Las Vegas. Zostały one zgłoszone firmie Qualcomm w okresie od lutego do kwietnia, a producent mikroukładów opublikował poprawki luk w zabezpieczeniach, które zostały uznane za poważne.

Niestety, nie oznacza to, że wszystkie urządzenia są jeszcze chronione. Ze względu na fragmentację ekosystemu Androida wiele urządzeń działa w starszych wersjach systemu Android i nie otrzymuje już aktualizacji oprogramowania układowego lub otrzymuje poprawki z miesięcznymi opóźnieniami.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Nawet Google, który co miesiąc wydaje poprawki bezpieczeństwa dla swojej linii Nexus telefonów i tabletów z Androidem, naprawiło wszystkie luki.

Wszystkie usterki zostały wspólnie nazwane QuadRooter, ponieważ jeśli zostaną wykorzystane, zapewniają atakującym prawa roota - najwyższe przywileje w systemie opartym na systemie Linux, takim jak Android. Indywidualnie są śledzone jako CVE-2016-2059, CVE-2016-2503 i CVE-2016-2504 oraz CVE-2016-5340 i znajdują się w różnych sterownikach dostarczanych przez Qualcomm producentom urządzeń.

Firma Qualcomm wydała poprawki dla tych luk w zabezpieczeniach dla klientów i partnerów w okresie od kwietnia do lipca, powiedział Alex Gantman, wiceprezes ds. Inżynierii w ramach Qualcomm Product Security Initiative, w oświadczeniu przesłanym pocztą elektroniczną.

Tymczasem Google rozprowadza tylko trzy z tych poprawek do tej pory poprzez comiesięczne biuletyny bezpieczeństwa dla urządzeń Nexus. Aktualizacje zabezpieczeń wydane przez Google są wcześniej udostępniane producentom telefonów i publikowane w Android Open Source Project (AOSP).

Urządzenia z Androidem 6.0 (Marshmallow) z poprawką z 5 sierpnia powinny być chronione przed Wady CVE-2016-2059, CVE-2016-2503 i CVE-2016-2504. Urządzenia z Androidem 4.4.4 (KitKat), 5.0.2 i 5.1.1 (Lollipop), które zawierają łatki 5 sierpnia, powinny również mieć poprawki CVE-2016-2503 i CVE-2016-2504, ale będą narażone na wersja exploita CVE-2016-2059, którą Google oznaczył jako niski poziom zagrożenia ze względu na istniejące ograniczenia.

Czwarta luka, CVE-2016-5340, pozostaje niezapisana przez Google, ale producenci urządzeń mogli uzyskać jej poprawkę bezpośrednio z Projekt Qualcomm Code Aurora z otwartym kodem źródłowym

"Ta usterka zostanie rozwiązana w nadchodzącym biuletynie bezpieczeństwa systemu Android, jednak partnerzy Android mogą szybciej podjąć działania, odwołując się do publicznej poprawki dostarczonej przez Qualcomm", powiedział przedstawiciel Google za pośrednictwem poczty elektronicznej. Wykorzystanie którejś z tych czterech luk dotyczyłoby użytkowników pobierających szkodliwe aplikacje, powiedział Google.

"Nasze zabezpieczenia weryfikacyjne i zabezpieczenia SafetyNet pomagają identyfikować, blokować i usuwać aplikacje, które wykorzystują luki w zabezpieczeniach, takie jak te", dodał przedstawiciel.

To prawda że wykorzystanie luk może być dokonane tylko przez nieuczciwe aplikacje, a nie bezpośrednio poprzez wektory ataku, takie jak przeglądanie, poczta e-mail lub SMS, ale te złośliwe aplikacje nie wymagają żadnych uprawnień, zgodnie z Check Point.

Badacze Check Point i Google nie zgodzili się o nasileniu CVE-2016-2059. Chociaż firma Qualcomm oceniła tę lukę jako poważną, Google oceniło ją jako niską, ponieważ twierdzi, że można ją złagodzić przez SELinux.

SELinux jest rozszerzeniem jądra, które znacznie utrudnia wykorzystanie niektórych luk przez wymuszanie kontroli dostępu. Mechanizm ten został użyty do wymuszenia granicznych obszarów izolowanych aplikacji począwszy od Androida 4.3 (Jelly Bean).

Check Point nie zgadza się z oceną Google, że SELinux ogranicza tę lukę. Podczas wykładu Donenfelda w DEF CON pokazał, w jaki sposób exploit CVE-2016-2059 może przełączyć SELinux z trybu egzekwowania na tryb permissive, skutecznie wyłączając jego ochronę.

Trudno jest określić, które urządzenia są podatne na ataki, ponieważ niektórzy producenci mogą oczekiwać na Google zwolnij brakującą łatę przed wydaniem własnych aktualizacji oprogramowania układowego, podczas gdy inni mogą ją pobrać bezpośrednio z Qualcomm. Aby ułatwić identyfikację wrażliwych urządzeń, firma Check Point opublikowała bezpłatną aplikację o nazwie QuadRooter Scanner w Google Play, która umożliwia użytkownikom sprawdzenie, czy na ich urządzenia wpływa jakakolwiek z czterech wad.