Google の Project Zero チームは、商用監視ベンダーが Samsung 製スマートフォンの新しいモデルにある 3 つのゼロデイ セキュリティ脆弱性を悪用して、人々を監視し、ユーザー データを盗んでいたことを明らかにしました。
Google の脅威分析グループ (TAG) によって公開された 3 つの Samsung スマートフォンの脆弱性は、CVE-2021-25337、CVE-2021-25369、および CVE-2021-25370 です。
Google は 2020 年代後半にエクスプロイト サンプルを発見すると、すぐにこれらの脆弱性を Samsung に報告し、それ以来、同社による 2021 年 3 月のリリースですべてのパッチが適用されました。
さらに、Samsung 製デバイスのカスタム ソフトウェアで発見されたこれらの脆弱性は、Android を搭載した Samsung 製携帯電話を標的とするエクスプロイト チェーンの一部としてすべて一緒に使用されました。
連鎖した脆弱性により、攻撃者が root ユーザーとしてカーネルの読み取りおよび書き込み権限を取得できるようになり、最終的にはデバイス上の個人データが漏洩する可能性があります。
さらに、エクスプロイト チェーンは、Exynos SOC を搭載したカーネル 4.14.113 を実行している Samsung 製携帯電話をターゲットにしていました。 Googleによると、2020年代後半に影響を受けたモデルはSamsungのGalaxy S10、Galaxy A50、Galaxy A51で、カーネル4.14.113を実行していた。
Exynos SOC を搭載したサムスンの携帯電話は主にヨーロッパとアフリカで販売されており、これらの地域が監視の対象となっている可能性があります。このエクスプロイト サンプルは、Exynos Samsung スマートフォンに固有の Mali GPU ドライバーと DPU ドライバーの両方に依存しています。
Google の TAG チームによって発見された 3 つのゼロデイ脆弱性問題は次のとおりです。
- CVE-2021-25337–保護されていないクリップボード コンテンツ プロバイダーを介した任意のファイルの読み取り/書き込みの脆弱性: Samsung モバイル デバイスのクリップボード サービスのアクセス制御が不適切なため、信頼できないアプリケーションが特定のローカル ファイルの読み取りまたは書き込みを行うことができます。
- CVE-2021-25369–sec_log からカーネル情報が漏洩する可能性: sec_log ファイル内の不適切なアクセス制御の脆弱性により、カーネルの機密情報がユーザー空間に公開されます。
- CVE-2021-25370–ディスプレイ プロセッシング ユニット (DPU) ドライバーのメモリ破損: DPU ドライバーでファイル記述子を処理する実装が正しくないと、メモリー破損が発生し、カーネル パニックが発生します。
報告によると、この欠陥はサイドローディングされた可能性が高い悪意のある Android アプリによって悪用され、ユーザーをだまして Google Play ストアの外部からインストールさせたものとされています。この悪意のあるアプリにより、攻撃者はアプリのサンドボックスを脱出し、デバイスの残りのオペレーティング システムにアクセスすることができました。ただし、最終的なペイロードが実際に何であったのかはまだ不明です。
「このチェーンの最初の脆弱性である任意のファイルの読み取りと書き込みは、このチェーンの基礎であり、4 回使用され、各ステップで少なくとも 1 回は使用されました」と Google Project Zero のセキュリティ研究者であるマディー ストーン氏は次のように書いています。ブログ投稿脅威について説明しています。
「Android デバイスの Java コンポーネントは、そのような特権レベルで実行されているにもかかわらず、セキュリティ研究者にとって最も人気のあるターゲットになる傾向はありません。」
Stone 氏はさらに、「このチェーンの 3 つの脆弱性はすべて、AOSP プラットフォームや Linux カーネルではなく、メーカーのカスタム コンポーネントにありました。 3 つの脆弱性のうち 2 つはメモリの安全性ではなく、ロジックと設計の脆弱性であったことも興味深いです。」
上記の脆弱性は、Samsung の携帯電話を侵害するために商用監視ベンダーによって連鎖的に発生しました。
Googleは監視ベンダーの名前を明らかにしていないが、テクノロジー大手はイタリアとカザフスタンのAppleおよびAndroidユーザーをターゲットにした他のキャンペーンとの類似点を強調しており、イタリア企業RCS Labとの関係が指摘されている。
Stone 氏は、当時 Samsung が公開した勧告には脆弱性が積極的に悪用されていることについては言及されていなかったが、それ以来、脆弱性を公開した Apple や Google に倣い、脆弱性が積極的に悪用された場合には開示を開始することを約束していると指摘した。セキュリティアップデートで攻撃を受けています。
「脆弱性が実際に悪用されることがわかっている場合にラベルを付けることは、対象となるユーザーにとってもセキュリティ業界にとっても重要です。 In-the-wild 0-day が透明性をもって開示されていない場合、パッチ分析や亜種分析を使用してユーザーをさらに保護し、攻撃者がすでに知っていることを理解するためにその情報を使用することはできません」とブログ投稿は結んでいます。
「このエクスプロイト チェーンの分析により、攻撃者がどのように Android デバイスをターゲットにしているかについて、新しく重要な洞察が得られました。これは、メーカー固有のコンポーネントに関するさらなる研究の必要性を浮き彫りにしています。これは、どこでさらにバリアント分析を行うべきかを示しています。」
![2024 年の Windows 10 向けのベスト アイコン パック 10 選 [無料ダウンロード]](https://soud.one/tech/hiroyuki/wp-content/uploads/2022/03/Windows-10-icon-packs.png){kind=icon}
