Google は、商用監視ベンダーが、新しい Samsung スマートフォンで発見された 3 つのゼロデイ セキュリティ脆弱性を悪用していたという証拠があると述べています。
Samsung のカスタム ビルド ソフトウェアで発見された脆弱性は、Android を実行している Samsung の携帯電話を標的とするエクスプロイト チェーンの一部として一緒に使用されました。 チェーン化された脆弱性により、攻撃者は root ユーザーとしてカーネルの読み取りおよび書き込み権限を取得し、最終的にデバイスのデータを公開することができます。
Google Project Zero のセキュリティ研究者である Maddie Stone 氏は次のように述べています。 ブログ投稿 エクスプロイト チェーンは、特定のカーネル バージョンを実行する Exynos チップを搭載した Samsung の携帯電話を標的にしているとのことです。 サムスンの携帯電話は、主にヨーロッパ、中東、アフリカで Exynos チップを搭載して販売されており、監視の対象となっている可能性があります。
Stone 氏によると、影響を受けたカーネルを実行している Samsung の携帯電話には、S10、A50、および A51 が含まれているという。
パッチが適用された後、この欠陥は悪意のある Android アプリによって悪用され、ユーザーはアプリ ストアの外からだまされてインストールされた可能性があります。 悪意のあるアプリにより、攻撃者は、そのアクティビティを封じ込めるように設計されたアプリ サンドボックスを回避し、デバイスのオペレーティング システムの残りの部分にアクセスできます。 Stone 氏によると、エクスプロイト アプリのコンポーネントのみが取得されたため、3 つの脆弱性が最終的な配信への道を開いたとしても、最終的なペイロードが何であったかは不明です。
「このチェーンの最初の脆弱性は、 任意のファイルの読み書き、このチェーンの基礎であり、4回使用され、各ステップで少なくとも1回使用されました. 「Android デバイスの Java コンポーネントは、そのような特権レベルで実行されているにもかかわらず、セキュリティ研究者にとって最も人気のあるターゲットになる傾向はありません」と Stone 氏は述べています。
Google は、商用監視ベンダーの名前を明らかにすることを拒否しましたが、悪意のある Android アプリを悪用して強力な国家スパイウェアを配信した最近のデバイス感染と同様のパターンに従っていると述べました。
今年の初め、セキュリティ研究者は、RCS Lab が開発し、政府による標的型攻撃で使用された Android および iOS スパイウェアである Hermit を発見しました。これは、イタリアとカザフスタンで被害者が確認されています。 Hermit は、ターゲットを騙して、偽装した携帯通信会社支援アプリなどの悪意のあるアプリをアプリ ストアの外からダウンロードしてインストールさせることに依存していますが、被害者の連絡先、音声録音、写真、ビデオ、および詳細な位置データを密かに盗みます。 Google は、デバイスが Hermit によって侵害された Android ユーザーに通知を開始しました。 監視ベンダーの Connexxa も、悪意のあるサイドローディング アプリを使用して、Android と iPhone の両方の所有者を標的にしました。
Google は 2020 年後半に 3 つの脆弱性を Samsung に報告し、Samsung は 2021 年 3 月に影響を受ける携帯電話にパッチを公開しましたが、当時は脆弱性が積極的に悪用されていたことを明らかにしていませんでした。 Stone 氏によると、Samsung は、Apple と Google に続いて、脆弱性が攻撃されている場合にセキュリティ アップデートで開示するのに続いて、脆弱性が積極的に悪用された場合に開示を開始することを約束しています。
「このエクスプロイト チェーンの分析により、攻撃者がどのように Android デバイスを標的にしているのかについて、新しく重要な洞察が得られました」と Stone 氏は付け加え、さらに調査を進めることで、Samsung などの Android デバイス メーカーが作成したカスタム ソフトウェアの新しい脆弱性を発見できる可能性があると示唆しています。
「これは、メーカー固有のコンポーネントに関するさらなる研究の必要性を強調しています。 これは、さらにバリアント分析を行うべき場所を示しています」と Stone 氏は述べています。