OnePlus Nord 2 ima ranljivost, ki omogoči dostop do korenske lupine v nekaj minutah pri zaklenjenem zagonskem nalagalniku, brez brisanja podatkov

MiscellaneaNov 22, 2023

OnePlus Nord 2 ima ranljivost, ki napadalcu omogoča neomejen dostop korenske lupine. Berite naprej, če želite izvedeti več!

Veliko nas pri XDA-Developers je prvotno začelo brskati po forumih, ko smo želeli korenite naše naprave Android. V tistih časih so se ljudje pogosto zanašali na metode »roen z enim klikom«: aplikacije ali skripte, ki koristne obremenitve, ki ciljajo na znane ranljivosti stopnjevanja privilegijev obstoječe vdelane programske opreme, da pridobijo root dostop. Z izboljšavami in spremembami šifriranja, dovoljenj in ravnanja, povezanega z zasebnostjo, so sodobne naprave Android razmeroma varne pred takšnimi vektorji napadov, vendar bo vedno ostal prostor za izkorišča in ranljivosti.

OnePlus je morda utrdil svoje ime med glavnimi proizvajalci originalne opreme za Android, vendar so njegovi telefoni noben tujec do varnostne napake. Tokrat je podjetje precej zanimivo (beri: zaskrbljujočo) ranljivost pustilo nezakrpano na OnePlus Nord 2 od izida. Čeprav izkoriščanje vrzeli zahteva fizični dostop do naprave, lahko napadalec učinkovito

pridobite neomejeno korensko lupino, preden lahko uporabnik sploh vnese svoje poverilnice. Predvsem na novo izdani Pac-Man izdaja Nord 2 je prizadeto tudi.

Ozadje

Dandanes, ko govorimo o korenskem dostopu na pametnem telefonu Android, ljudje običajno pomislijo na popravljanje osnovne zagonske slike z Magiskom najprej in nato utripanje popravljene slike v ciljno napravo po odklepanju zagonskega nalagalnika. Na ta način ima lahko končni uporabnik nadzorovan dostop do binarne datoteke »su« prek upraviteljske aplikacije. Par drugih eksperimentalni pristopi obstajajo, vendar le redkokdaj pridobijo toliko običajne uporabe.

Ko gre za predprodukcijo, pa je scenarij popolnoma drugačen. Med pripravo vdelane programske opreme naprave morajo imeti inženirji vklopljene različne parametre beleženja, vključno s korenskim dostopom. Tudi na a userdebug graditi, Android Debug Bridge Daemon (adbd) teče kot root, tako da lahko imate privilegiran dostop lupine za namene odpravljanja napak. Ko je vdelana programska oprema pripravljena za pošiljanje, je treba vse te parametre za odpravljanje napak izklopiti, preden jo uvedete.

Toda kaj se zgodi, če to pozabite storiti? Videli bomo, saj imajo uradne izdaje OxygenOS za OnePlus Nord 2 takšno napako.

OnePlus Nord 2 -- Ranljivost korenske lupine

Nekateri proizvajalci originalne opreme, kot je Samsung, ponujajo možnost stranskega nalaganja posodobitvenih paketov pri obnovitvi zalog na maloprodajnih napravah. V tem primeru je adbd binary se izvaja s precej visokimi privilegiji med stranskim nalaganjem, vendar se sam zapre, takoj ko se postopek posodobitve konča. Razen tega dostop do ADB ni dovoljen v obnovitvenem okolju, ki ga zagotavlja OEM.

OnePlus uporabnikom ne dovoljuje več bliskanja posodobitvenega paketa ZIP prek svoje obnovitve zalog prek stranskega prenosa ADB. Ob predpostavki, da je vse ostalo konfigurirano, kot bi moralo, bi moralo biti obnovitveno okolje običajne naprave OnePlus varno pred napadalci, ki s pomočjo ADB dostavljajo kakršno koli koristno obremenitev. Na žalost pri OnePlus Nord 2 ne gre vse po načrtih.

Kot se izkaže, kdorkoli lahko ustvari lupino za odpravljanje napak Android s korenskimi pravicami v obnovitvenem okolju OnePlus Nord 2. Ena od kritičnih nastavitev za odpravljanje napak se je očitno prebila v proizvodne različice, kar vodi do te napake.

Izkoriščanje napake na OnePlus Nord 2

Vse kar morate storiti je, da ponovno zaženete OnePlus Nord 2 v način za obnovitev. Napadalec lahko vzame napravo in jo s preprosto kombinacijo tipk strojne opreme prisili, da gre v način za obnovitev. Pravzaprav ni treba doseči dejanskega menija za obnovitev, saj je ranljivi razdelek pred tem. Zasluge gredo starejšemu članu XDA AndroPlus za opozarja obstoj te napake oktobra 2021.

  1. Ko je telefon izklopljen, hkrati pritisnite gumb za zmanjšanje glasnosti in gumb za vklop, dokler ne oglejte si logotip OnePlus z majhno pasico "RECOVERY MODE" v spodnjem levem kotu zaslona.
  2. Nato bi morali videti zaslon za izbiro jezika. Ni vam treba iti naprej, saj lahko dostop do ADB sprožimo kar od tu.
  3. Zdaj povežite telefon z računalnikom (ali Mac) s kablom USB. Če uporabljate Windows, lahko v upravitelju naprav vidite nov vmesnik za odpravljanje napak USB za Android. Morda boste morali namestiti tudi ustrezno Gonilnik USB za Android preden lahko Windows prepozna novo napravo. Uporabniki Linuxa in macOS pa lahko uporabljajo lsusb ukaz za zaznavanje prisotnosti novega vmesnika strojne opreme.
  4. Glede na to, da že imate najnovejšo različico ADB in Fastboot pripomočke, nameščene na vašem PC/Mac, zaženite primerek ukaznega poziva/PowerShell/Terminal in izvedite naslednji ukaz:
    adb devices
    Moral bi navesti Nord 2 v načinu za obnovitev. To je še posebej zanimivo, saj standardni poziv za avtorizacijo ADB tukaj ni potreben. Morda boste prejeli napako »naprava nepooblaščena«, vendar bi vam moralo brisanje obstoječe podatkovne baze ključev ADB RSA gostiteljskega računalnika in ponovni zagon strežnika ADB sčasoma omogočiti, da ga avtorizirate.
  5. Zdaj pa navodila adbd zagnati kot root:
    adb root
    Ta ukaz lahko traja dolgo in verjetno boste prejeli napako časovne omejitve. Kljub temu zdaj adbd se mora izvajati kot root.
  6. Končno preverite raven privilegijev lupine z naslednjim ukazom:
    adb shell whoami

Obseg napake

Morebitne zlorabe te varnostne ranljivosti so zastrašujoče. Z uspešnim napadom na OnePlus Nord 2 lahko napadalec odstrani vsako particijo naprave. Posledično je napadalcu dostopna celotna podatkovna particija – vključno z datotekami, shranjenimi v tipično nedostopnih zasebnih podatkovnih imenikih aplikacij. V primeru, da je bila podatkovna particija šifrirana (ker je uporabnik nastavil kodo PIN ali geslo), je izpis lahko še vedno uporaben za forenzično analizo.

Ne samo to, izvršljivo datoteko lahko potisnete v /data/local/tmp in ga zaženite od tam. To je klasičen vektor napadov, ki je lahko koristen za verižno nalaganje drugega izkoriščanja. Še več, saj lahko zdaj pokličete setprop kot root za spreminjanje različnih vrednosti prop, lahko tehnično ugrabite nekatere privilegirane spremenljivke, specifične za OEM. Nenazadnje, tudi če nimate odklenjenih možnosti za razvijalce, bo telefon po klicu samodejno zahteval dostop za odpravljanje napak USB ADB v obnovitvi in ​​znova zaženite običajno okolje Android, kar pomeni, da obseg ranljivosti ni omejen samo na razdelek za obnovitev samo.

Upoštevajte, da datotek APK ne morete namestiti z uporabo ADB v obnovitvenem okolju, ker pripomoček Package Manager tam ni dostopen.

Kako preveriti, ali je vaš OnePlus Nord 2 prizadet? (Namig: Je)

Kot smo že omenili, lahko to ranljivost izkoristite tako v običajni kot v posebni izdaji Pac-Man OnePlus Nord 2. Na kratko, če vnesete korensko lupino (vedeli boste, ko se simbol lupine spremeni iz $ do #), potem boste vedeli, da je napaka prisotna.

Uspešno smo pridobili korenski dostop lupine na najnovejšo javno indijsko in evropsko vdelano programsko opremo OxygenOS za napravo, kar pomeni vsaka enota OnePlus Nord 2 tam zunaj je ranljiva v času pisanja tega članka.

Kaj je naslednje?

To zadevo bomo spremljali, ko bo na voljo več informacij. OnePlus je o tem vprašanju podal naslednjo izjavo:

Zasebnost in varnost obravnavamo zelo resno. Tej zadevi dajemo prednost in jo bomo obvestili takoj, ko bomo imeli več informacij.

Čeprav se vse to zdi strašljivo, ne pozabite, da bo moral napadalec še vedno fizično dostopati do telefona, da bi pridobil dostop korenske lupine. Dokler OnePlus ne uvede posodobitve, ki popravi ranljivost, poskušajte zaščititi svoj OnePlus Nord 2 stran od tujcev. Čeprav nismo naleteli na noben primer zlonamerne uporabe, takšne možnosti ne moremo zanemariti, saj je ranljivost v naravi že vsaj 2 meseca.