Google gibt an, Beweise dafür zu haben, dass ein kommerzieller Überwachungsanbieter drei Zero-Day-Sicherheitslücken ausnutzt, die in neueren Samsung-Smartphones gefunden wurden.
Die Schwachstellen, die in Samsungs speziell entwickelter Software entdeckt wurden, wurden zusammen als Teil einer Exploit-Kette verwendet, um auf Samsung-Telefone mit Android abzuzielen. Die verketteten Schwachstellen ermöglichen es einem Angreifer, als Root-Benutzer Lese- und Schreibrechte für den Kernel zu erlangen und letztendlich die Daten eines Geräts offenzulegen.
Die Sicherheitsforscherin von Google Project Zero, Maddie Stone, sagte in a Blogeintrag dass die Exploit-Kette auf Samsung-Telefone mit einem Exynos-Chip mit einer bestimmten Kernel-Version abzielt. Samsung-Telefone werden mit Exynos-Chips hauptsächlich in Europa, dem Nahen Osten und Afrika verkauft, wo sich wahrscheinlich die Ziele der Überwachung befinden.
Stone sagte, dass Samsung-Telefone, auf denen der betroffene Kernel zu dieser Zeit lief, das S10, A50 und A51 enthalten.
Die seit dem Patch behobenen Fehler wurden von einer bösartigen Android-App ausgenutzt, die der Benutzer möglicherweise von außerhalb des App Store zur Installation verleitet hat. Die bösartige App ermöglicht es dem Angreifer, der App-Sandbox zu entkommen, die ihre Aktivitäten enthalten soll, und auf den Rest des Betriebssystems des Geräts zuzugreifen. Laut Stone wurde nur eine Komponente der Exploit-App beschafft, daher ist nicht bekannt, was die endgültige Nutzlast war, selbst wenn die drei Schwachstellen den Weg für ihre letztendliche Bereitstellung geebnet haben.
„Die erste Schwachstelle in dieser Kette, die beliebige Datei lesen und schreiben, war die Grundlage dieser Kette, die viermal verwendet wurde und in jedem Schritt mindestens einmal verwendet wurde“, schrieb Stone. „Die Java-Komponenten in Android-Geräten sind in der Regel nicht die beliebtesten Ziele für Sicherheitsforscher, obwohl sie auf einer so privilegierten Ebene ausgeführt werden“, sagte Stone.
Google lehnte es ab, den kommerziellen Überwachungsanbieter zu nennen, sagte jedoch, die Ausnutzung folge einem ähnlichen Muster wie die jüngsten Geräteinfektionen, bei denen bösartige Android-Apps missbraucht wurden, um mächtige nationalstaatliche Spyware zu liefern.
Anfang dieses Jahres entdeckten Sicherheitsforscher Hermit, eine von RCS Lab entwickelte Android- und iOS-Spyware, die bei gezielten Angriffen von Regierungen mit bekannten Opfern in Italien und Kasachstan verwendet wurde. Hermit verlässt sich darauf, ein Ziel dazu zu bringen, die bösartige App herunterzuladen und zu installieren, z. B. eine getarnte Hilfs-App für Mobilfunkanbieter, von außerhalb des App Stores, stiehlt dann aber im Stillen die Kontakte, Audioaufzeichnungen, Fotos, Videos und detaillierten Standortdaten eines Opfers. Google begann damit, Android-Nutzer zu benachrichtigen, deren Geräte von Hermit kompromittiert wurden. Auch der Überwachungsanbieter Connexxa nutzte bösartige seitengeladene Apps, um sowohl Android- als auch iPhone-Besitzer anzugreifen.
Google hat die drei Schwachstellen Ende 2020 an Samsung gemeldet, und Samsung hat im März 2021 Patches für betroffene Telefone bereitgestellt, aber zu diesem Zeitpunkt nicht bekannt gegeben, dass die Schwachstellen aktiv ausgenutzt wurden. Stone sagte, Samsung habe sich seither verpflichtet, mit der Offenlegung zu beginnen, wenn Schwachstellen aktiv ausgenutzt werden, gefolgt von Apple und Google, die in ihren Sicherheitsupdates auch offenlegen, wenn Schwachstellen angegriffen werden.
„Die Analyse dieser Exploit-Kette hat uns neue und wichtige Erkenntnisse darüber geliefert, wie Angreifer auf Android-Geräte abzielen“, fügte Stone hinzu und deutete an, dass weitere Forschungen neue Schwachstellen in benutzerdefinierter Software von Android-Geräteherstellern wie Samsung aufdecken könnten.
„Es unterstreicht den Bedarf an mehr Forschung zu herstellerspezifischen Komponenten. Es zeigt, wo wir weitere Variantenanalysen durchführen sollten“, sagte Stone.