Google, ticari bir gözetim sağlayıcısının daha yeni Samsung akıllı telefonlarda bulunan üç sıfırıncı gün güvenlik açığından yararlandığına dair kanıtları olduğunu söylüyor.
Samsung’un özel yapım yazılımında keşfedilen güvenlik açıkları, Android çalıştıran Samsung telefonlarını hedef alan bir açıklardan yararlanma zincirinin parçası olarak birlikte kullanıldı. Zincirleme güvenlik açıkları, bir saldırganın kök kullanıcı olarak çekirdek okuma ve yazma ayrıcalıkları kazanmasına ve nihayetinde bir aygıtın verilerini açığa çıkarmasına olanak tanır.
Google Project Zero güvenlik araştırmacısı Maddie Stone şunları söyledi: Blog yazısı istismar zincirinin, belirli bir çekirdek sürümünü çalıştıran bir Exynos çipine sahip Samsung telefonlarını hedef aldığı. Samsung telefonları, özellikle gözetleme hedeflerinin bulunduğu Avrupa, Orta Doğu ve Afrika’da Exynos çipleriyle satılmaktadır.
Stone, etkilenen çekirdeği çalıştıran Samsung telefonlarının S10, A50 ve A51’i içerdiğini söyledi.
Hatalar, yamalandığından beri, kötü niyetli bir Android uygulaması tarafından istismar edildi ve kullanıcının uygulama mağazasının dışından yüklemesi için kandırılmış olabilir. Kötü amaçlı uygulama, saldırganın etkinliğini içerecek şekilde tasarlanmış uygulama sanal alanından kaçmasına ve cihazın işletim sisteminin geri kalanına erişmesine olanak tanır. Stone, istismar uygulamasının yalnızca bir bileşeninin elde edildiğini söyledi, bu nedenle üç güvenlik açığı nihai teslimatın yolunu açsa bile nihai yükün ne olduğu bilinmiyor.
“Bu zincirdeki ilk güvenlik açığı, keyfi dosya okuma ve yazma, bu zincirin temeliydi, dört farklı kez kullanıldı ve her adımda en az bir kez kullanıldı” diye yazdı Stone. Stone, “Android cihazlardaki Java bileşenleri, bu kadar ayrıcalıklı bir düzeyde çalışmasına rağmen güvenlik araştırmacıları için en popüler hedefler olma eğiliminde değil” dedi.
Google, ticari gözetim sağlayıcısının adını vermekten kaçındı, ancak istismarın, güçlü ulus devlet casus yazılımları sunmak için kötü niyetli Android uygulamalarının kötüye kullanıldığı son cihaz enfeksiyonlarına benzer bir model izlediğini söyledi.
Bu yılın başlarında güvenlik araştırmacıları, RCS Lab tarafından geliştirilen ve İtalya ve Kazakistan’da bilinen kurbanları olan hükümetler tarafından hedeflenen saldırılarda kullanılan bir Android ve iOS casus yazılımı olan Hermit’i keşfetti. Hermit, gizli bir hücre taşıyıcı yardım uygulaması gibi kötü amaçlı uygulamayı uygulama mağazasının dışından indirip yüklemek için bir hedefi kandırmaya dayanır, ancak daha sonra kurbanın kişilerini, ses kayıtlarını, fotoğraflarını, videolarını ve ayrıntılı konum verilerini sessizce çalar. Google, cihazları Hermit tarafından ele geçirilen Android kullanıcılarını bilgilendirmeye başladı. Gözetim sağlayıcısı Connexxa, hem Android hem de iPhone sahiplerini hedef almak için yandan kötü amaçlı uygulamalar kullandı.
Google, 2020’nin sonlarında Samsung’a üç güvenlik açığı bildirdi ve Samsung, Mart 2021’de etkilenen telefonlara yamalar çıkardı, ancak güvenlik açıklarından aktif olarak yararlanıldığını açıklamadı. Stone, o zamandan beri Samsung’un, güvenlik güncellemelerinde güvenlik açıkları saldırıya uğradığında da ifşa eden Apple ve Google’ın ardından güvenlik açıklarından aktif olarak yararlanıldığında açıklamaya başlamayı taahhüt ettiğini söyledi.
Stone, “Bu açıklardan yararlanma zincirinin analizi, saldırganların Android cihazları nasıl hedef aldığı konusunda bize yeni ve önemli bilgiler sağladı” diye ekledi ve daha fazla araştırmanın Samsung gibi Android cihaz üreticileri tarafından oluşturulan özel yazılımlardaki yeni güvenlik açıklarını ortaya çıkarabileceğini ima etti.
“Üreticiye özel bileşenlerle ilgili daha fazla araştırmaya duyulan ihtiyacı vurguluyor. Daha fazla değişken analizini nerede yapmamız gerektiğini gösteriyor” dedi Stone.
