Kuidas saada juurdepääsu süsteemi kestale mis tahes Samsung Galaxy seadmes

MobiilneNov 21, 2023

Kiirlingid

  • Eeldused
  • Kuidas kasutada mis tahes Samsung Galaxy seadet süsteemi kestale juurdepääsu saamiseks
  • Kontrollimine
  • Järeldus

Iga kuu esimesel esmaspäeval avaldab Google Androidi turvabülletään. See avalikustab kõik Android OS-i erinevate komponentide leevendatud turvaaukud samuti Linuxi kernel ja nende paigad, mille Google ise või teised kolmandad osapooled on sellele esitanud kuupäeva. Suured originaalseadmete tootjad, nagu Samsung, suhtuvad Androidi omamoodi, nii et nad otsustavad lisada ka oma paigad ja värskendused turvavärskendusteks.

Seda öeldes on üsna raske iga lünka eest hoolitseda. Rünnakuvektoreid on palju ja mõnikord saate nende põhjal luua oma ärakasutusahela varem tuntud haavatavus lihtsalt seetõttu, et teil on uus meetod ühest neist möödahiilimiseks kaitsemeetmed. See on täpselt see, mida XDA vanemliige K0mraid3 tegi neli aastat vana haavatavusega, mis võimaldas tal saada juurdepääsu süsteemi kestale igale Samsung Galaxy seadmele, sealhulgas uusimatele lipulaevadele. Kuigi see pole sama, mis omades juurõigusi, see on piisavalt kõrge kohalike privileegide eskalatsioon.

Haavatavuse esmane sisenemispunkt asub Samsungi teksti kõneks muutmises (paketi nimi: com.samsung. SMT), eellaaditud süsteemirakendus, mis on saadaval igas Samsung Galaxy seadmes. Idee on viia rakenduse installitud versioon üle konkreetsele haavatavale järgule (v3.0.02.2 täpsemalt) ja seejärel sundida seda laadima teeki, mis omakorda avab süsteemiõigustega kesta (UID 1000).

Kui soovite ärakasutamise kohta rohkem teada saada, vaadake kindlasti XDA juhtiv tehniline toimetaja Adam Conway selgitaja. Ta rääkis K0mraid3-ga, et mõista selle ärakasutamise kogu ulatust ja selle toimimist.

  1. Kordan veel kord, see ei ole juurjuurdepääs (UID 0), kuid süsteemi kesta juurdepääs on piisavalt võimas, et käivitada hulk muidu piiratud binaarfaile.
  2. K0mraid3 kontseptsiooni tõestuseks on vaja abi-APK-d ja seda tuleb enne kasutusahela käivitamist vähemalt korra käivitada.
  3. Üks kasutajaliides, st Samsungi kohandatud Androidi naha sisseehitatud energiasäästurutiinid võivad olla tülikad, kuna need võivad takistada suhtlust TTS-i rakenduse, abistava APK ja kesta vahel. Seetõttu soovitame rakenduste jaoks eelnevalt seadistada energiasäästuprofiiliks "Piiramatu".

Eeldused

  1. Laadige exploit'i eelkompileeritud järg saidilt alla XDA foorumi teema või allpool lingitud ametlik GitHubi hoidla: K0mraid3s System Shell Exploit
  2. Ekstraktige arhiiv kuskilt välja ja peaksite leidma Samsungi teksti kõneks muutmise APK haavatava versiooni (samsungTTSVULN2.apk), abirakendus (Komraid3s_POC_Vx.x.apk) ja Windowsi käivitatav fail nimega systemhell-vx.x.exe.
  3. Veenduge, et uusim versioon ADB on installitud teie arvutisse/Maci/Chromebooki. Samuti pidage meeles installige/värskendage Samsungi USB-draiverid kui olete Windowsi kasutaja.

Kuidas kasutada mis tahes Samsung Galaxy seadet süsteemi kestale juurdepääsu saamiseks

Manuaalne meetod

  1. Ühendage Galaxy sihtseade arvutiga, kui USB-silumine on sisse lülitatud, veenduge, et see oleks ADB-le leitav, seejärel installige abirakendus. 
    adb install Komraid3s_POC_Vx.x.apk
    • Nagu varem mainitud, avage abistaja rakendus vähemalt üks kord, enne kui jätkate järgmise sammuga.
  2. Nüüd lükake Samsungi TTS-i rakenduse haavatav versioon kausta /data/local/tmp ja muutke selle õigusi: 
    adb push samsungTTSVULN2.apk /data/local/tmp
    adb shell chmod 777 /data/local/tmp/samsungTTSVULN2.apk
  3. Taaskäivitage seade. Niipea kui olete avaekraanil, käivitage järgmine käsk, et asendada Samsungi TTS-i rakenduse juba installitud versioon haavatavaga: 
    adb shell pm install -r -d -f -g --full --install-reason 3 --enable-rollback /data/local/tmp/samsungTTSVULN2.apk
    • Kui kõik läheb õigesti, peaksite konsoolil nägema teadet "Edu".
  4. Avage sihtseadme kest, avades teise terminali akna ja käivitades adb kest, seejärel käivitage Netcati binaarfail ja kuulake 9997 pordi sissetulevat ühendust järgmise käsuga: 
    adb shell nc -lp 9997
  5. Selles etapis peame täitma Samsungi TTS rakenduse konkreetse toimingu, mis avab meie jaoks süsteemikesta.
    • Kasutage mõnda kolmanda osapoole rakendust, näiteks see com.samsungi otsetee loomiseks. SMT/.gui. Allalaadimisloend” tegevust.
    • Sama tegemiseks võite kasutada ka Androidi enda tegevushaldurit (am). Sel juhul saate selle käivitada ADB kaudu (adb shell am start -n com.samsung. SMT/.gui. DownloadList) või kasutage oma telefonis/tahvelarvutis terminali emulaatori rakendust (nt Termux) ja käivitage järgmine käsk: 
      am start -n com.samsung.SMT/.gui.DownloadList
  6. Lülituge tagasi esimesele kestale ja peaksite nägema uut süsteemi (UID 1000) privileegiga viipa.

Automatiseeritud meetod

Asjade lihtsustamiseks pakub K0mraid3 ka hõlpsasti kasutatavat GUI-rakendust enamiku ülesannete automatiseerimiseks. Pidage meeles, et GUI-rakendus on ainult Windowsi jaoks, nii et kui olete Linuxi/macOS-i kasutaja, on parem kasutada käsitsi meetodit.

  1. Ühendage Galaxy sihtseade arvutiga, kui USB-silumine on sisse lülitatud, veenduge, et see oleks ADB-le leitav, seejärel installige abirakendus. 
    adb install Komraid3s_POC_Vx.x.apk
    • Nagu varem mainitud, avage abistaja rakendus vähemalt üks kord, enne kui jätkate järgmise sammuga.
  2. Kui sihtseade on ADB poolt tuvastatav, käivitage hostarvutis fail systemhell-vx.x.exe.
  3. Klõpsake nuppu "START SHELL". Rakendus muudab Samsungi TTS-i rakenduse automaatselt madalamaks ja proovib süsteemi kesta avada.
    • Võite oma telefonis/tahvelarvutis näha rakendust TTS, mis palub teil alla laadida mõned kõneandmed. Nende valikutega pole vaja suhelda, kuna neil pole ärakasutamisega mingit pistmist.
    • Kui rakendus hangub või ei suuda mõne aja pärast kesta akent avada, sulgege see, taaskäivitage sihtmärk Galaxy seade ja alustage otsast peale.
    • Galaxy Store'i rakendus saab taustal automaatselt värskendada ja/või lähtestada TTS-rakenduse energiasäästuprofiili, seega kontrollige seda enne protsessi nullist alustamist.

Kontrollimine

Kui teil on shell-juurdepääs, saate õiguste taset kontrollida, kasutades ühte allolevatest käskudest.

  • whoami
    • Väljund peaks olema "süsteem" 
  • id -u
    • Väljund peaks olema "1000"

Järeldus

Tavaline viis Android-seadme juurjuurdepääsu saavutamiseks on esmalt avada alglaadur, mis võimaldab teil käivitada kolmanda osapoole binaarfaile. Kuna Androidi turbemudel laguneb põhimõtteliselt rootiga, keelab see samm tahtlikult seadme ühe peamise turvafunktsiooni, mis Sellepärast peab kasutaja sel selgesõnaliselt lubama, lubades tavaliselt arendaja valikutes lüliti ja andes seejärel avamiskäsu alglaadur. Kui alglaadur on lukust vabastatud, saab kasutaja juurutada süsteemi superkasutaja binaarfaili ja ka superkasutajate haldusrakenduse (nagu Magisk), et juhtida, millistel protsessidel on juurjuurdepääs.

Ülalmainitud süsteemi shelli kasutamisega ei pea kasutaja aga eskaleeritud privileegi saamiseks alglaadurit avama. Kuigi see pole kaugeltki juurkasutaja, on "süsteemi" kasutaja piisavalt võimeline, et pääseda juurde paljudele madala taseme partitsioonidele (näiteks kui /efs), käivitage mitmesugused teenindus- ja silumistööriistad ning muutke paljusid kaitstud atribuutide väärtusi – seda kõike isegi komistamata Knox. Need näited puudutavad vaid mõnda viisi; pahatahtlik tegutseja võib selle kombineerida teiste haavatavustega ja tulla välja õelamaid tegusid.

Peame ootama ja nägema, kuidas Google ja Samsung stsenaariumi lahendavad. Mõlemal juhul peaksite esialgu Samsungi kõnesünteesi rakenduse keelama või eemaldama.