קישורים מהירים
- דרישות מוקדמות
- כיצד לנצל כל מכשיר סמסונג גלקסי כדי לקבל גישה למעטפת המערכת
- אימות
- סיכום
ביום שני הראשון של כל חודש, גוגל מפרסמת את עלון אבטחה של אנדרואיד. הוא חושף את כל פרצות האבטחה המופחתות ברכיבים שונים של מערכת ההפעלה אנדרואיד as כמו גם ליבת לינוקס והתיקונים שלהם שנשלחו על ידי גוגל עצמם או צדדים שלישיים אחרים לכך תַאֲרִיך. ליצרניות OEM גדולות כמו סמסונג יש תפיסה משלהם לאנדרואיד, ולכן הם בוחרים לגלגל את התיקונים והעדכונים שלהם גם לעדכוני אבטחה.
עם זאת, די קשה לטפל בכל פרצה. יש שפע של וקטורי תקיפה, ולפעמים אתה יכול ליצור שרשרת ניצול משלך בהתבסס פגיעות ידועה בעבר רק בגלל שיש לך שיטה חדשה לעקוף אחת מהן אמצעי הגנה. זה בדיוק מה שחבר בכיר ב-XDA K0mraid3 עשה עם פגיעות בת ארבע שנים, שאפשרה לו לקבל גישה למעטפת המערכת בכל מכשיר סמסונג גלקסי - כולל מכשירי הדגל האחרונים - בחוץ. אמנם זה לא אותו דבר כמו בעל הרשאות שורש, זו עליית הרשאות מקומית גבוהה מספיק.
נקודת הכניסה העיקרית של הפגיעות נמצאת בתוך Samsung Text-To-Speech (שם חבילה: com.samsung. SMT), אפליקציית מערכת נטענת מראש שניתן למצוא בכל מכשיר סמסונג גלקסי. הרעיון הוא לשדרג לאחור את הגרסה המותקנת של האפליקציה למבנה פגיע ספציפי (
v3.0.02.2 ליתר דיוק), ולאחר מכן לאלץ אותו לטעון ספרייה, אשר בתורה פותחת מעטפת עם הרשאות מערכת (UID 1000).אם אתה רוצה ללמוד עוד על הניצול, הקפד לבדוק העורך הטכני הראשי של XDA, המסביר של אדם קונוויי. הוא דיבר עם K0mraid3 כדי להבין את מלוא היקף הניצול הזה וכיצד הוא עובד.
- כדי להדגיש שוב, זו לא גישת שורש (UID 0), אבל הגישה למעטפת המערכת חזקה מספיק כדי להפעיל חבורה של קבצים בינאריים מוגבלים אחרת.
- הוכחת הרעיון של K0mraid3 דורשת APK עוזר, ואתה צריך להפעיל אותו לפחות פעם אחת לפני השקת שרשרת הניצול.
- ממשק משתמש אחד, כלומר שגרת חיסכון בחשמל המובנית של עור אנדרואיד מותאם אישית של סמסונג יכולה להיות בעייתית, מכיוון שהם עלולים להפריע לתקשורת בין אפליקציית TTS, ה-APK העוזר והמעטפת. לפיכך, אנו מציעים להגדיר את פרופיל החיסכון בחשמל ל"בלתי מוגבל" עבור האפליקציות מראש.
דרישות מוקדמות
- הורד את ה-build המורכב מראש של הניצול מה- שרשור הפורום של XDA או המאגר הרשמי של GitHub המקושר למטה: ניצול מעטפת מערכת K0mraid3s
- חלץ את הארכיון איפשהו ואתה אמור למצוא את הגרסה הפגיעה של ה-APK של Samsung Text-To-Speech (samsungTTSVULN2.apk), אפליקציית העזר (Komraid3s_POC_Vx.x.apk), וקובץ הפעלה של Windows בשם systemshell-vx.x.exe.
- ודא שהגרסה העדכנית ביותר של ADB מותקן ב-PC/Mac/Chromebook. כמו כן, זכור התקן/עדכן את מנהלי ההתקן של Samsung USB אם אתה משתמש Windows.
כיצד לנצל כל מכשיר סמסונג גלקסי כדי לקבל גישה למעטפת המערכת
שיטה ידנית
- חבר את מכשיר היעד של Galaxy למחשב שלך כאשר ניפוי באגים USB מופעל, ודא שהוא ניתן לגילוי על ידי ADB, ואז התקן את אפליקציית העזרה.
adb install Komraid3s_POC_Vx.x.apk
- כפי שהוזכר קודם לכן, פתח את אפליקציית העזר לפחות פעם אחת לפני שתמשיך לשלב הבא.
- כעת דחוף את הגרסה הפגיעה של אפליקציית Samsung TTS אל /data/local/tmp ושנה את ההרשאות שלה:
adb push samsungTTSVULN2.apk /data/local/tmp
adb shell chmod 777 /data/local/tmp/samsungTTSVULN2.apk
- הפעל מחדש את המכשיר. ברגע שאתה על מסך הבית, הפעל את הפקודה הבאה כדי להחליף את הגרסה המותקנת כבר של אפליקציית Samsung TTS בגרסה הפגיעה:
adb shell pm install -r -d -f -g --full --install-reason 3 --enable-rollback /data/local/tmp/samsungTTSVULN2.apk
- אם הכל הולך כשורה, אתה אמור לראות הודעת "הצלחה" בקונסולה.
- פתח מעטפת במכשיר היעד על ידי פתיחת חלון מסוף נוסף וביצוע מעטפת adb, לאחר מכן הפעל את הקובץ הבינארי של Netcat, והאזין לחיבור נכנס ביציאת 9997 עם הפקודה הבאה:
adb shell nc -lp 9997
- בשלב זה עלינו לבצע פעילות ספציפית של אפליקציית Samsung TTS אשר תפתח עבורנו את מעטפת המערכת.
- השתמש באפליקציה של צד שלישי כמו זֶה כדי ליצור קיצור דרך של "com.samsung. SMT/.gui. פעילות DownloadList.
- אתה יכול גם להשתמש במנהל הפעילות של אנדרואיד (am) כדי לעשות את אותו הדבר. במקרה כזה, אתה יכול להפעיל אותו באמצעות ADB (adb shell am start -n com.samsung. SMT/.gui. DownloadList) או השתמש באפליקציית אמולטור מסוף בטלפון/טאבלט שלך כמו Termux והפעל את הפקודה הבאה:
am start -n com.samsung.SMT/.gui.DownloadList
- עבור בחזרה למעטפת הראשונה, ואתה אמור לראות הנחיה חדשה עם הרשאת מערכת (UID 1000).
שיטה אוטומטית
כדי להקל על הדברים, K0mraid3 מספק גם יישום GUI קל לשימוש כדי להפוך את רוב המשימות לאוטומטיות. זכור שאפליקציית ה-GUI היא ל-Windows בלבד, כך שאם אתה משתמש לינוקס/macOS, עדיף להישאר עם השיטה הידנית.
- חבר את מכשיר היעד של Galaxy למחשב שלך עם איתור באגים ב-USB מופעל, ודא שהוא ניתן לגילוי על ידי ADB, ואז התקן את אפליקציית העזרה.
adb install Komraid3s_POC_Vx.x.apk
- כפי שהוזכר קודם לכן, פתח את אפליקציית העזר לפחות פעם אחת לפני שתמשיך לשלב הבא.
- כאשר התקן היעד ניתן לגילוי על ידי ADB, הפעל את systemshell-vx.x.exe במחשב המארח.
- לחץ על כפתור "התחל SHELL". האפליקציה תשדרג אוטומטית לאחור את אפליקציית Samsung TTS ותנסה לפתוח את מעטפת המערכת.
- בטלפון/טאבלט שלך, ייתכן שתראה את אפליקציית TTS המנחה אותך להוריד נתונים קוליים. אין צורך ליצור אינטראקציה עם האפשרויות הללו, מכיוון שאין להן שום קשר לניצול.
- במקרה שהאפליקציה נתקעת או לא מצליחה לפתוח את חלון המעטפת לאחר זמן מה, סגור אותו, הפעל מחדש את מכשיר היעד גלקסי והתחל מחדש.
- אפליקציית Galaxy Store יכולה לעדכן ו/או לאפס אוטומטית את פרופיל החיסכון בחשמל של אפליקציית TTS ברקע, לכן הקפידו לבדוק זאת לפני שמתחילים בתהליך מאפס.
אימות
לאחר שתהיה לך גישה למעטפת, תוכל לאמת את רמת ההרשאה באמצעות אחת מהפקודות שלהלן:
-
whoami
- הפלט צריך להיות "מערכת"
-
id -u
- הפלט צריך להיות "1000"
סיכום
הדרך האופיינית להשיג גישת שורש במכשיר אנדרואיד היא קודם כל לבטל את הנעילה של טוען האתחול, המאפשר לך לאתחל קבצים בינאריים של צד שלישי. מכיוון שמודל האבטחה של אנדרואיד מתפרק בעצם עם השורש, שלב זה משבית בכוונה את אחת מתכונות האבטחה המרכזיות במכשיר, אשר זו הסיבה שהמשתמש צריך לאפשר את זה במפורש על ידי הפעלת החלפת מצב באפשרויות המפתחים ולאחר מכן הוצאת פקודת ביטול נעילה ל- טוען אתחול. לאחר ביטול הנעילה של טוען האתחול, המשתמש יכול להציג בינארי של משתמש-על למערכת וגם אפליקציית ניהול משתמש-על (כמו Magisk) כדי לשלוט לאילו תהליכים יש גישה ל-root.
עם זאת, עם ניצול מעטפת המערכת שהוזכר לעיל, המשתמש לא צריך לבטל את נעילת טוען האתחול כדי לקבל הרשאה מוגברת. למרות שזה רחוק מלהיות שורש, משתמש ה"מערכת" מסוגל מספיק לגשת למספר מחיצות ברמה נמוכה (כגון כ-/efs), התחל כלים שונים של שירות ואיתור באגים, ושנה ערכי אב מוגנים רבים - והכל אפילו בלי למעוד נוקס. דוגמאות אלו נוגעות רק בכמה דרכים; שחקן זדוני יכול לשלב את זה עם נקודות תורפה אחרות ולהמציא פעולות מרושעות יותר.
נצטרך לחכות ולראות כיצד גוגל וסמסונג מתמודדות עם התרחיש. כך או כך, כנראה שכדאי להשבית או להסיר את אפליקציית הטקסט לדיבור של סמסונג לעת עתה.