يستهدف الاختراق وضع EDL الخاص بشركة Qualcomm، ويؤثر على بعض أجهزة Xiaomi وOnePlus وNokia وغيرها من الأجهزة

Xda ممتلئNov 09, 2023

تحتوي أجهزة Qualcomm على وضع EDL، والذي يبدو أنه قابل للاستغلال إذا كان لديك الأدوات المناسبة التي أصدرتها الشركات المصنعة الأصلية.

تحتوي الأجهزة المزودة بشرائح Qualcomm على صrimary بoo.otلoader (PBL) الذي يعمل عادةً على تشغيل نظام Android، ولكنه يضم أيضًا وضع تمهيد بديل يُعرف باسم وضع EDL. وضع EDL هو وضع Qualcomm هحالة الطوارئ دownload مقصيدة ويسمح ياأصلي همعدات مالشركة المصنعة (OEM) لفرض برنامج الفلاش على الجهاز. لا يمكن تعديل هذا (وضع القراءة فقط) ويتمتع بالتحكم الكامل في مساحة تخزين الجهاز. أصدر العديد من مصنعي المعدات الأصلية، بما في ذلك OnePlus وXiaomi، أدوات (تُعرف باسم المبرمجين) تستخدم وضع EDL و بروتوكول يعرف باسم Firehose لفك الجهاز، في حين تسربت أدوات أخرى من شركات مثل نوكيا. يمكن لـ Firehose استخدام عدد من الأوامر لفلاش الأجهزة، إلى جانب القدرة على فحص البيانات الموجودة في ذاكرة الجهاز. الباحثين الأمنيين روي هاي (@roeehay) و نعوم حداد من أبحاث ألف اكتشفوا ثغرات أمنية حرجة في الجهاز باستخدام هذا الوضع، والذي يمنح المهاجم بشكل فعال الوصول الكامل للجهاز.

من المهم أن نلاحظ ذلك يتطلب هذا الاستغلال الوصول الفعلي إلى الجهاز، ولكنه لا يزال خطيرًا بشكل لا يصدق ومن المحتمل أنه لا يمكن تصحيحه

. استخدم المهاجمون مستوى الوصول الممنوح لوضع EDL لتجاوز التمهيد الآمن على هاتف Nokia 6، مما أدى إلى هزيمة سلسلة الثقة والحصول على التنفيذ الكامل للتعليمات البرمجية عبر كل جزء من تسلسل التمهيد بما في ذلك نظام التشغيل Android بحد ذاتها. من المفترض أن يعمل بنفس الطريقة على الأجهزة الأخرى، وتمكن الباحثون أيضًا من فتح العديد من أجهزة Xiaomi وتجذيرها دون فقدان أي بيانات.

ما هي الأجهزة المتضررة من هذا الاستغلال؟

أولاً: الأجهزة المتضررة.

قائمة الأجهزة المتضررة

  • ال جي جي 4
  • نوكيا 6 (d1c)
  • نوكيا 5
  • نيكزس 6 (شامو)
  • نيكزس 6P (الصياد)
  • موتو جي 4 بلس
  • ون بلس 5 (برجر بالجبن)
  • ون بلس 3T
  • ون بلس 3
  • ون بلس 2
  • ون بلس اكس
  • واحد زائد واحد
  • زد تي إي أكسون 7
  • زوك Z1
  • زوك Z2
  • Xiaomi Note 5A (أوجلايت)
  • شياومي نوت 5 برايم (ugg)
  • شياومي نوت 4 (ميدو)
  • Xiaomi Note 3 (جايسون)
  • شاومى نوت 2 (العقرب)
  • شياومي ميكس (الليثيوم)
  • شياومي ميكس 2 (شيرون)
  • إكسياومي مي 6 (ساجيت)
  • إكسياومي مي 5S (الجدي)
  • شياومي مي 5S بلس (الصوديوم)
  • إكسياومي مي 5x (تيفاني)
  • شياومي مي 5 (الجوزاء)
  • شياومي مي 3 (كانكرو)
  • شياومي مي A1 (تيسو)
  • شياومي مي ماكس 2 (الأكسجين)
  • شياومي ريدمي نوت 3 (كينزو)
  • شياومي ريدمي 5A (ريفا)
  • شياومي ريدمي 4A (وردي)

اقرأ أكثر

استغلال هاتف أندرويد

تسلسل التمهيد لهاتف Android Qualcomm النموذجي

من المهم أن نفهم أولاً تسلسل التمهيد لجهاز Android النموذجي قبل شرح كيفية استغلاله. ال سبرامج بoo.otلoader (SBL) عبارة عن أداة تحميل إقلاع موقعة رقميًا يتم التحقق من صحتها قبل تحميلها في imem. imem هي ذاكرة سريعة على الرقاقة تستخدم لتصحيح الأخطاء وDMA (دمستقيم مإيموري أccess) وهي مملوكة لشرائح Qualcomm.

تحتوي بعض الأجهزة على eXقابل للشد بoo.otلoader (XBL) بدلاً من SBL، لكن عملية التمهيد هي نفسها تقريبًا. يقوم SBL أو XBL بعد ذلك بتشغيل ABOOT، الذي يقوم بتنفيذ fastboot. بعد ذلك، يتم أيضًا تحميل TrustZone (الأمان القائم على الأجهزة). يتحقق TrustZone من صحة ABOOT عن طريق شهادة الجذر المستندة إلى الأجهزة. تم تصميم SBL (أو XBL، في بعض الحالات) لرفض ABOOT الموقع بشكل غير صحيح (أو غير الموقع).

بمجرد المصادقة، يقوم ABOOT بعد ذلك بالتحقق من /boot و/recovery للتأكد من صحتها قبل تشغيل Linux kernel. تتم بعض تحضيرات النظام، ثم يتم نقل تنفيذ التعليمات البرمجية إلى النواة. يُعرف ABOOT عمومًا باسم "Android Bootloader"، وعندما نقوم بإلغاء قفل أداة تحميل التشغيل لأحد الأجهزة، فإننا نقوم بتعطيل التحقق من المصادقة في ABOOT.

تم تصور تسلسل التمهيد لجهاز Android القياسي. // مصدر: أبحاث ألف

الوصول إلى وضع EDL

في حين أن بعض الأجهزة تحتوي على مجموعة بسيطة من الأجهزة (أو ما هو أسوأ من ذلك، فإن أمر fastboot بسيط خاص موجود في العديد من الأجهزة أجهزة Xiaomi)، وغيرها مثل أجهزة Nokia، تحتاج إلى دبابيس قصيرة تعرف باسم "نقاط الاختبار" موجودة على الجهاز الرئيسي سبورة. كان من الممكن أيضًا، قبل تصحيح الأمان في ديسمبر 2017، تشغيل "adb reboot edl" على العديد من الأجهزة (بما في ذلك Nexus 6 و6P) والدخول إلى وضع EDL. تم إصلاح هذا منذ ذلك الحين.

تظهر نقاط الاختبار في مربع أصفر مرسوم أسفل اللوحة الرئيسية للجهاز. // مصدر: أبحاث ألف

يمكن للأجهزة الأخرى أيضًا استخدام ما يُعرف بكابل "الفلاش العميق"، وهو كابل خاص به دبابيس معينة قصيرة لإخبار النظام بالتشغيل بدلاً من ذلك في وضع EDL. يمكن لأجهزة Xiaomi القديمة الاستفادة من هذه الطريقة، إلى جانب Nokia 5 وNokia 6. سيتم أيضًا تشغيل الأجهزة الأخرى في وضع EDL عندما تفشل في التحقق من SBL.

كابل فلاش عميق

استخدام وضع EDL للوصول الكامل إلى OnePlus 3/3T

يمكن استخدام وضع EDL بعدة طرق على الجهاز، معظمها لفك الأجهزة عن طريق وميضها بالقوة. كما هو موضح أعلاه، من الناحية النظرية يجب أن يكون الوصول إلى هذا الوضع آمنًا لأي شخص، لأن السيناريو الأسوأ هو أن ABOOT سيرفض البرنامج الذي لم يتم توقيعه رسميًا من قبل الشركة المصنعة. وفي حين أن هذا صحيح، فمن الممكن في الواقع الحصول على تحكم كامل في هاتف OnePlus 3 أو 3T وملفاته في إثبات استغلال المفهوم الذي أظهره الباحثون.

سيتم ذلك من خلال أمرين خطيرين للغاية تركهما OnePlus متاحين في إصدار أقدم من ABOOT (Android أداة تحميل التشغيل)، من أجل إلغاء قفل أداة تحميل التشغيل الخاصة بالجهاز (دون ظهور تحذير للمستخدم عند التمهيد) وتعطيله dm_verity. يُعرف dm_verity أيضًا باسم التمهيد الذي تم التحقق منه وهو جزء من تسلسل التمهيد الآمن على جهاز Android. الأمرين على النحو التالي.

fastboot oem disable_dm_verity
fastboot oem 4F500301/2

لاحظ العملية البسيطة المكونة من 4 خطوات أدناه والتي تستخدم بروتوكول Firehose.

  1. أولا قم بإدخال الجهاز في وضع EDL. يمكن القيام بذلك إما من خلال adb على OxygenOS 5.0 أو أقل أو باستخدام مجموعة مفاتيح بسيطة للأجهزة.
  2. قم بتنزيل صورة النظام القديمة أدناه OxygenOS 4.0.2.
  3. قم بتمرير ملف aboot.bin من خلال firehose (تذكر أن aboot.bin يقوم بتنفيذ fastboot، كما ذكرنا سابقًا)
  4. ستتمكن الآن من تعطيل التمهيد الآمن وفتح أداة تحميل التشغيل بدون مسح الجهاز ببساطة عن طريق استخدام أمري fastboot أعلاه.

إذا كنت تتذكر، فقد تبين سابقًا أن OnePlus قد ترك أمرين خطيرين للتشغيل السريع منذ ما يقرب من عام، أحدهما أدى إلى إلغاء قفل أداة تحميل التشغيل والآخر أدى إلى تعطيل التمهيد الآمن. في حين أنه صحيح أن مهاجم لا يمكن تثبيت البرامج الضارة على الجهاز، يستطيعون خفض مستوى الجهاز امتلاك كبار السن، وعرضة للهجوم البرمجيات. ببساطة عن طريق تشغيل أوامر fastboot المذكورة أعلاه، يمكن للمهاجم أن يحصل عليها الوصول الكامل إلى الجهاز.

وهذا كل شيء، تم إلغاء قفل أداة تحميل التشغيل، وتم إيقاف التشغيل الآمن، ولا يوجد أي فقدان للبيانات على الإطلاق. إذا أراد أحد المهاجمين اتخاذ هذه الخطوة إلى الأمام، فيمكنه إصدار نواة مخصصة ضارة تتيح الوصول إلى الجذر إلى الجهاز الذي لن يعرفه المستخدم أبدًا.

يعمل Firehose من خلال بروتوكول Qualcomm Sahara، الذي يقبل مبرمجًا موقعًا من قبل OEM وهو ما يوضح كيفية تنفيذ الهجوم المذكور أعلاه. عند توصيله بجهاز ما، فإنه يعمل بمثابة SBL عبر USB. يستخدمه معظم المبرمجين خرطوم الحريق للتواصل مع الهاتف في وضع EDL، وهو ما استغله الباحثون للحصول على التحكم الكامل بالجهاز. كما استخدم الباحثون هذا ل قم بفتح جهاز Xiaomi ببساطة عن طريق وميض صورة معدلة الذي فتح محمل الإقلاع. ثم قاموا بوميض نواة مخصصة أعطت الوصول إلى الجذر وأطلقوا SELinux بشكل متساهل واستخرجوا أيضًا صورة بيانات المستخدم المشفرة من الجهاز.

خاتمة

من غير المعروف سبب إطلاق الشركات المصنعة للمعدات الأصلية لهؤلاء المبرمجين من شركة كوالكوم. وقام مبرمجو نوكيا، وإل جي، وموتورولا، وجوجل بتسريب المعلومات بدلاً من إطلاقها، إلا أن الباحثين تمكنوا من ذلك اكسر سلسلة الثقة الكاملة في هاتف Nokia 6 واحصل على إمكانية الوصول الكامل إلى الجهاز من خلال طرق مماثلة استغلال. إنهم واثقون من إمكانية نقل الهجوم إلى أي جهاز يدعم هؤلاء المبرمجين. إذا كان ذلك ممكنًا، يجب على مصنعي المعدات الأصلية الاستفادة من qFuses للأجهزة التي تمنع التراجع عن البرامج، عن طريق النفخ عند إرجاع أجهزة الجهاز ويمكنها تحذير المستخدم بحدوث ذلك. يمكن للمهتمين إلقاء نظرة على الورقة البحثية الكاملة أدناه ويمكنهم قراءة استغلال Nokia الكامل أيضًا.

المصدر: أبحاث ألف