Критични МедиаТек рооткит утиче на милионе Андроид уређаја

Ксда анализаNov 05, 2023

Критична мана у МедиаТек процесорима није закрпљена на уређајима због занемаривања ОЕМ-а. Гоогле се нада да ће Андроид безбедносни билтен из марта 2020. ово поправити.

Првог понедељка у месецу, Гоогле објављује Андроид безбедносни билтен, страница која открива све безбедносне пропусте и њихове закрпе које је послао сам Гоогле или друге треће стране. Данас није био изузетак: Гоогле је управо објавио Андроид безбедносни билтен за март 2020. Једна од рањивости која је документована у последњем билтену је ЦВЕ-2020-0069, критична безбедносна експлоатација, посебно рооткит, који утиче на милионе уређаја са чипсетима компаније МедиаТек, велике тајванске компаније за дизајн чипова. Иако је Андроид безбедносни билтен из марта 2020. изгледа први пут да је ЦВЕ-2020-0069 јавно објављен, детаљи експлоатације су заправо отворени на интернету – тачније, на форумима КСДА-Девелоперс – од априла из 2019. Упркос томе што је МедиаТек учинио закрпу доступном месец дана након открића, рањивост се и даље може искористити на десетинама модела уређаја.

Још горе, хакери активно искориштавају рањивост. Сада се МедиаТек обратио Гоогле-у да затвори ову празнину у закрпи и заштити милионе уређаја од овог критичног безбедносног подвига.

За све читаоце који нису упознати са КСДА-Девелоперс, ми смо сајт који је дом највећих форума за модификације Андроид софтвера. Обично се ове модификације усредсређују на добијање роот приступа на уређајима како би се избрисали блоатваре, инсталирали прилагођени софтвер или подесили подразумеване системске параметре. Амазонови Фире таблети су популарне мете за хакере хобисте на нашим форумима – пуни су неинсталираних блоатваре, немају приступ основним софтверским апликацијама као што је Гоогле Плаи продавница и, што је најважније, веома су јефтино. Изазов са роот-овањем Амазон Фире таблета је тај што су они снажно закључани како би спречили кориснике да изађу из Амазонове баште са зидовима; Амазон не пружа званичан метод за откључавање покретача Фире таблета, што је обично први корак у рутирању било ког Андроид уређаја. Стога, једини начин да се роот таблета Амазон Фире (без хардверских модификација) пронађу у софтверу који омогућава кориснику да заобиђе Андроид-ов сигурносни модел. У фебруару 2019. тј управо оно што је КСДА виши члан дипломатског урадио када је објавио тему на нашим форумима таблета Амазон Фире. Брзо је схватио да је овај експлоатација далеко ширег обима од само Амазонових Фире таблета.

Након малог тестирања од стране КСДА Мембер дипломатских и других чланова заједнице, потврђено је да овај експлоат функционише на великом броју МедиаТек чипова. Аутор наводи да експлоатација функционише на „практично свим МедиаТек-овим 64-битним чиповима,” и посебно наводе следеће као рањиве: МТ6735, МТ6737, МТ6738, МТ6739, МТ6750, МТ6753, МТ6755, МТ6757, МТ6758, МТ6761, МТ6762, МТ6763, МТ6765, МТ6771, МТ6779, МТ6795, МТ6795, МТ6716, МТ6716, МТ6789 173, МТ8176, МТ8183, МТ6580 и МТ6595. Због тога колико је МедиаТек чипсетова погођено овим експлоатацијом, експлоатација је добила назив „МедиаТек-су“ или скраћено „МТК-су“. Дипломатик је 17. априла 2019. објавио другу тему под насловом „Невероватан Темп Роот за МедиаТек АРМв8“ на нашем форуму „Разни Андроид развој“. У овој теми, он је поделио скрипту коју корисници могу да изврше да би им одобрили приступ суперкорисника у љусци, као и да подесе СЕЛинук, Линук кернел модул који обезбеђује контролу приступа за процесе, веома несигурним „дозвољеним“ држава. Да би корисник добио роот приступ и подесио СЕЛинук на дозвољен на свом уређају је шокантно лако: Све што треба да урадите је да копирате скрипту у привремену фасциклу, промените директоријуме где је скрипта ускладиштена, додајте извршне дозволе скрипти, а затим извршите скрипта.

Једноставни кораци за добијање роот приступа помоћу МедиаТек-су. Извор: КСДА Сениор Мембер Дипломатиц

Чланови КСДА заједнице потврдили су да је експлоатација функционисала на најмање следећим уређајима:

  1. Ацер Ицониа Оне 10 Б3-А30
  2. Ацер Ицониа Оне 10 Б3-А40
  3. Серија таблета Алба
  4. Алцател 1 5033 серија
  5. Алцател 1Ц
  6. Алцател 3Л (2018) 5034 серија
  7. Алцател 3Т 8
  8. Алцател А5 ЛЕД 5085 серија
  9. Алцател А30 5049 серија
  10. Алцател Идол 5
  11. Алцател/ТЦЛ А1 А501ДЛ
  12. Алцател/ТЦЛ ЛКС А502ДЛ
  13. Алцател Тетра 5041Ц
  14. Амазон Фире 7 2019 – само до верзије Фире ОС 6.3.1.2 0002517050244
  15. Амазон Фире ХД 8 2016 – само до Фире ОС 5.3.6.4 верзије 626533320
  16. Амазон Фире ХД 8 2017 – само до Фире ОС 5.6.4.0 верзије 636558520
  17. Амазон Фире ХД 8 2018 -- само до Фире ОС 6.3.0.1
  18. Амазон Фире ХД 10 2017 – само до Фире ОС 5.6.4.0 верзије 636558520
  19. Амазон Фире ХД 10 2019 – само до Фире ОС 7.3.1.0
  20. Амазон Фире ТВ 2 -- само до Фире ОС 5.2.6.9
  21. АСУС ЗенФоне Мак Плус Кс018Д
  22. АСУС ЗенПад 3с 10 З500М
  23. Серија заснована на АСУС ЗенПад З3ккМ(Ф) МТ8163
  24. Барнес & Нобле НООК Таблет 7" БНТВ450 & БНТВ460
  25. Барнес & Нобле НООК Таблет 10,1" БНТВ650
  26. Блацквиев А8 Мак
  27. Блацквиев БВ9600 Про (Хелио П60)
  28. БЛУ Лифе Мак
  29. БЛУ Лифе Оне Кс
  30. БЛУ Р1 серија
  31. БЛУ Р2 ЛТЕ
  32. БЛУ С1
  33. БЛУ Танк Кстреме Про
  34. БЛУ Виво 8Л
  35. БЛУ Виво КСИ
  36. БЛУ Виво КСЛ4
  37. Блубоо С8
  38. БК Акуарис М8
  39. ЦАТ С41
  40. Цоолпад Цоол Плаи 8 Лите
  41. Драгон Тоуцх К10
  42. Ецхо Феелинг
  43. Гионее М7
  44. ХиСенсе Инфинити Х12 Лите
  45. Хуавеи ГР3 ТАГ-Л21
  46. Хуавеи И5ИИ
  47. Хуавеи И6ИИ МТ6735 серија
  48. Лава Ирис 88С
  49. Леново Ц2 серија
  50. Леново Таб Е8
  51. Леново Таб2 А10-70Ф
  52. ЛГ К8+ (2018) Кс210УЛМА (МТК)
  53. ЛГ К10 (2017)
  54. ЛГ Трибуте Династи
  55. ЛГ Кс повер 2/М320 серија (МТК)
  56. ЛГ Кспрессион Плус 2/К40 ЛМКС420 серија
  57. Лумигон Т3
  58. Меизу М5ц
  59. Меизу М6
  60. Меизу Про 7 Плус
  61. Нокиа 1
  62. Нокиа 1 Плус
  63. Нокиа 3
  64. Нокиа 3.1
  65. Нокиа 3.1 Плус
  66. Нокиа 5.1
  67. Нокиа 5.1 Плус/Кс5
  68. На Андроид таблету од 7 инча
  69. Онн серија таблета од 8" и 10" (МТ8163)
  70. ОППО А5с
  71. ОППО Ф5 серија/А73 -- само за Андроид 8.к
  72. ОППО Ф7 серија -- само за Андроид 8.к
  73. ОППО Ф9 серија -- само за Андроид 8.к
  74. Оукител К12
  75. Протрули Д7
  76. Реалме 1
  77. Сони Кспериа Ц4
  78. Сони Кспериа Ц5 серија
  79. Сони Кспериа Л1
  80. Сони Кспериа Л3
  81. Сони Кспериа КСА серија
  82. Сони Кспериа КСА1 серија
  83. Соутхерн Телецом Смартаб СТ1009Кс (МТ8167)
  84. ТЕЦНО Спарк 3 серија
  85. Умидиги Ф1 серија
  86. Умидиги Повер
  87. Вико Риде
  88. Вико Сунни
  89. Вико Виев3
  90. Ксиаоми Редми 6/6А серија
  91. ЗТЕ Бладе А530
  92. ЗТЕ Бладе Д6/В6
  93. ЗТЕ Куест 5 З3351С

Опширније

Са изузетком телефона заснованих на МедиаТек-у из Виво, Хуавеи/Хонор (након Андроида 8.0+), ОППО (након Андроида 8.0+) и Чланови заједнице Самсунг, КСДА открили су да МедиаТек-су ради чешће него не када се покуша на уређајима са погођеним чипсета. Према дипломатском члану КСДА, Виво, Хуавеи/Хонор, ОППО и Самсунг уређаји „користе модификације језгра да би спречили роот приступ преко екплоитс“, што значи да би програмер морао да копа у изворни код језгра ових уређаја да би направио „прилагођене верзије[е]“ експлоатисати. То није било вредно додатног труда, па је програмер одлучио да не дода подршку за ове уређаје иако би, „теоретски“, експлоатација и даље могла да функционише.

До сада би требало да буде јасно да овај експлоат утиче на велики број уређаја на тржишту. МедиаТек чипови напајају стотине јефтиних и средњих модела паметних телефона, јефтиних таблета и других брендова сет-топ боксова, од којих се већина продаје без очекивања правовремених ажурирања од произвођача. Многи уређаји на које још увек утиче МедиаТек-су стога вероватно неће добити поправку недељама или месецима након данашњег откривања, ако је уопште добију. Дакле, због чега МедиаТек-су добија своју „критичну” озбиљност са а ЦВСС в3.0 резултат 9,3?

Зашто је МТК-су критична безбедносна рањивост

Да поновимо, типичан начин да се постигне роот приступ на Андроид уређају је да прво откључате покретач, који онемогућава верификацију партиције за покретање. Једном када се покретачки програм откључа, корисник може да уведе бинарну верзију суперкорисника у систем, као и апликацију за управљање суперкорисницима да контролише који процеси имају приступ роот-у. Откључавање покретача намерно онемогућава једну од кључних безбедносних функција на уређају, због чега корисник мора да експлицитно дозволите да се то деси уобичајено омогућавањем прекидача у опцијама за програмере, а затим издавањем команде за откључавање боотлоадер. Са МедиаТек-су, међутим, корисник не мора да откључа покретач да би добио роот приступ. Уместо тога, све што треба да ураде је да копирају скрипту на свој уређај и да је изврше у љусци. Међутим, корисник није једини који то може. Било која апликација на вашем телефону може да копира МедиаТек-су скрипту у свој приватни директоријум, а затим да је изврши да добије роот приступ у љусци. У ствари, дипломатски члан КСДА истиче ову могућност у својој теми на форуму када предлажу алтернативни скуп упутстава користећи или Емулатор терминала за Андроид апликацију или Термук а не АДБ.

Са роот приступом, Андроид-ов сигурносни модел се у основи распада. На пример, дозволе постају бесмислене у контексту роот-а јер апликација са приступом роот љусци може себи доделити било коју дозволу коју жели. Штавише, са основном љуском, цела партиција података — укључујући датотеке ускладиштене у типично недоступним приватним директоријумима података апликација — је доступна. Апликација са роот-ом такође може тихо да инсталира било коју другу апликацију коју жели у позадини, а затим им додели све дозволе које су им потребне да наруше вашу приватност. Према КСДА Рецогнизед Девелопер топјохнву, злонамерна апликација може чак и „убацити код директно у Зиготе користећи птраце“, што значи да би нормална апликација на вашем уређају могла бити отета како би извршила понуду нападача. Ови примери се дотичу само неколико начина на које апликација може да наруши ваше поверење у позадини без вашег знања. Међутим, злонамерне апликације могу да изазову пустош на вашем уређају без скривања шта раде. Рансомваре, на пример, јесте изузетно моћан са роот приступом; ако не платите, хипотетичка апликација за рансомваре би могла потпуно и неповратно учините свој уређај нефункционалним тако што ћете обрисати цео уређај.

Једина „слабост“ у МедиаТек-су је та што даје апликацији само „привремени“ роот приступ, што значи да процес губи приступ суперкориснику након поновног покретања уређаја. Штавише, на уређајима који користе Андроид 6.0 Марсхмаллов и новији, присуство Верификовано покретање и дм-верити блок модификације партиција само за читање као што су систем и добављач. Међутим, ова два фактора су углавном само сметња модерима на нашим форумима, а не злонамерни актери. Да би се превазишло ограничење привременог роот-а, злонамерна апликација може једноставно поново да покрене МедиаТек-су скрипту при сваком покретању. С друге стране, мало је потребе да се превазиђе дм-верити јер је мало вероватно да ће трајне модификације система или партиција произвођача заинтересовати већину аутора злонамерног софтвера; уосталом, већ постоје тона ствари које злонамерна апликација може да уради са основном љуском.

Ако се на техничком нивоу питате шта МедиаТек-су искоришћава, МедиаТек је поделио са нама доњи графикон који резимира улазну тачку. Грешка очигледно постоји у једном од МедиаТек-ових драјвера Линук кернела под називом „ЦМДК“. У опису се наводи да, „извршавањем ИОЦТЛ команде у [чвору] ЦМДК уређаја“, локални нападач може „произвољно читати/писати физичку меморију, испуштати [табелу] симбола језгра у унапред додељени ДМА бафер, [и] манипулише ДМА бафером да би променио подешавања кернела да би се онемогућио СЕЛинук и ескалирао на 'роот' привилегија“.

МедиаТек-ов резиме безбедносних рањивости ЦВЕ-2020-0069

Према графикону који је МедиаТек поделио са нама, ова рањивост утиче на МедиаТек уређаје са верзијама Линук кернела 3.18, 4.4, 4.9 или 4.14 који користе Андроид верзије 7 Ноугат, 8 Орео или 9 Пие. Рањивост се не може искористити на МедиаТек уређајима који користе Андроид 10, очигледно, јер је „дозвола за приступ ЦМДК чворове уређаја такође спроводи СЕЛинук." Ово ублажавање вероватно долази од ажурирања МедиаТек-овог БСП-а, а не од Андроид-а себе. Једино средство за ублажавање ове рањивости за Андроид 10 је његово ограничење апликација које извршавају бинарне датотеке у свом матичном директоријуму; међутим, како КСДА Рецогнизед Девелопер топјохнву примећује, злонамерна апликација може једноставно да покрене МедиаТек-су код у динамичкој библиотеци.

Иако је МедиаТек закрпио овај проблем у свим погођеним чипсетима, они не могу натерати произвођаче уређаја да имплементирају закрпе. МедиаТек нам је рекао да имају спремне закрпе још у мају 2019. Није изненађујуће, Амазон је одмах закрпио проблем на својим уређајима када су били упознати. Међутим, прошло је 10 месеци откако је МедиаТек ставио исправку на располагање својим партнерима, а још увек није марта 2020. десетине ОЕМ-а нису поправили своје уређаје. Већина погођених уређаја је на старијим Андроид издањима са застарелим нивоима безбедносних закрпа за Андроид (СПЛ), а ситуација са ажурирањем је још гора када се узме у обзир стотине мање познатих модела уређаја који користе ове МедиаТек чипове. МедиаТек има а озбиљан овде постоји проблем, па су се обратили Гоогле-у за помоћ.

За разлику од МедиаТек-а, Гоогле моћи присилити ОЕМ произвођаче да ажурирају своје уређаје путем уговори о лиценци или термини програма (као што је Андроид Оне). Да би произвођач оригиналне опреме изјавио да је уређај у складу са нивоом безбедносне закрпе (СПЛ) 2020-03-05, уређај мора да садржи сав оквир, Линук кернел и применљиве исправке драјвера добављача у Андроид безбедносном билтену из марта 2020., који укључује исправку за ЦВЕ-2020-0069, или МедиаТек-су. (Чини се да Гоогле то заправо не спроводи ОЕМ-ови заправо спајају све закрпе када проглашавате одређени СПЛ.) Сада када је објављен билтен из марта 2020., ова прича би требало да буде готова, зар не? Нажалост, такође морамо да држимо Гоогле-ове ноге за ватру да би их повукли да уграде закрпе.

Грешка у процесу безбедносне закрпе

У случају да већ није јасно, не мора свака безбедносна рањивост да заврши у Андроид безбедносном билтену. Продавци откривају и закрпе многе рањивости, а да се оне никада нису појавиле у месечном билтену. МедиаТек-су је требало да буде један од њих, али из више разлога, неколико ОЕМ-а није успело да интегрише закрпе које нуди МедиаТек. (Постоји много потенцијалних разлога зашто, од недостатка ресурса до пословних одлука до неуспеха у комуникацији.) Када сам раније је навео да се МедиаТек „обратио Гуглу“ за помоћ, што је имплицирало да је МедиаТек активно тражио помоћ од Гугла да натера ОЕМ произвођаче да коначно поправе своје уређаја. Међутим, то можда заправо није био случај. Колико сам схватио, Гоогле није знао за МедиаТек-су све док није случајно наведен у безбедносном извештају од ТрендМицро објављено 6. јануара 2020. У извештају, ТрендМицро је документовао други безбедносна рањивост, названа "без употребе у драјверу за везивање" рањивост, која се активно искоришћавала у дивљини. ТрендМицро приметио је како су три злонамерне апликације добиле роот приступ користећи једну од две методе, или рањивост „употреба-после-слободан у драјверу за повезивање” или МедиаТек-су.

Наводне апликације из Плаи продавнице које злоупотребљавају МедиаТек-су. Извор: ТрендМицро.

У коду који ТрендМицро дељено, можемо јасно видети како су злонамерне апликације циљале одређене моделе уређаја (нпр. Нокиа 3, ОППО Ф9 и Редми 6А) и коришћење МедиаТек-су на њима.

Не могу да говорим за ТрендМицро, али изгледа да нису били свесни да је МедиаТек-су још увек незакрпљен експлоат. На крају крајева, њихов фокус је био на експлоатацији „без употребе у драјверу за везивање“, а откривање употребе МедиаТек-су изгледа да је било накнадно. (Сигуран сам да ако ТрендМицро били свесни ситуације око МедиаТек-су, они би координирали своје напоре у откривању података са Гоогле-ом.) Били смо обавештени само о томе. сами смо овај експлоатацију 5. фебруара 2020. године, а након што смо сами истражили колико је то лоше, контактирали смо Гоогле у вези с тим 7. фебруара, 2020. Гугл је био толико забринут због последица објављивања МедиаТек-су-а да су од нас тражили да одложимо објављивање ове приче до данас. Након што размотримо непоправљиву штету која се може нанети корисницима на мети злонамерног софтвера МедиаТек-су, договорили смо се да задржимо ову причу до најаве Андроид-а у марту 2020. Безбедносни билтен. Ипак, с обзиром на то колико ће времена бити потребно многим уређајима да добију најновије безбедносно ажурирање, ако икада схватите то уопште, сигурно ће постојати гомила уређаја који су још увек рањиви на МедиаТек-су неколико месеци од Сада. То би требало да буде застрашујуће за свакога ко има рањив уређај.

Иако се ова веома озбиљна, „критична“ рањивост активно искоришћава у дивљини, само Гоогле унети у исправку за овај проблем у билтену из марта 2020, што је отприлике 2 месеца након што су обавештени о питање. Иако Гоогле обавештава своје Андроид партнере о најновијем Андроид безбедносном билтену пуних 30 дана пре него што се билтен објави (тј. ОЕМ произвођачи су обавештени о томе шта је у билтену из марта 2020. почетком фебруара 2020.), Гоогле може, и често то чини, ажурира билтен изменама или новим исправкама. Зашто Гоогле није одлучио да убрза укључивање закрпе за тако озбиљан проблем не знам, посебно када је МедиаТек имао решење за то пре 10 месеци. Да је таква грешка откривена у Апплеовим уређајима, не сумњам да би издали исправку много, много брже. Гоогле се у суштини ослањао на ризично опкладу да ће МедиаТек-су остати наизглед ниског профила као што је већ био до билтена у марту 2020. Иако се чини да је Гоогле имао среће у том погледу, немамо појма колико аутора злонамерног софтвера већ зна за експлоатацију. На крају крајева, седео је у насумичној теми КСДА форума за скоро целу годину.

Постоји још једна страна у овом дебаклу којој се нисам много обраћао, а то је аутор експлоатације, дипломатски члан КСДА. Свака му част, мислим да није имао злу намеру да објави МедиаТек-су. Можемо јасно пратити порекло експлоатације до дипломатске жеље да модификује таблете Амазон Фире. Дипломатик ми каже да је његов примарни циљ у развоју овог коренског метода био да помогне заједници. Прилагођавање вашег уређаја је оно што је КСДА, а дипломатски напори у заједници су оно што људи уживају на форумима. Иако дипломатско одбијање да отвори пројекат изазива забринутост, он објашњава да је желео да заједница ужива у томе што има роот приступ што је дуже могуће. Када сам први пут контактирао дипломата, он је такође изјавио да је сарађивао са неким партнерима што га је спречило да подели изворни код пројекта и истраживање. Иако нисам био у могућности да добијем више детаља о овој сарадњи, питам се да ли би дипломата изабрала да изађе у јавност са овим подвигом да је МедиаТек понудио програм за награђивање грешака. Не могу да замислим да рањивост ове величине не би исплатила позамашну суму новца да МедиаТек заиста има такав програм. Дипломатиц тврди да је овај експлоат могућ од касног МедиаТек МТ6580 чипсета из 2015. године, тако да се морамо запитати да ли је дипломатски чак и прва особа која је пронашла овај експлоат. Каже ми да није имао појма да се МедиаТек-су активно експлоатише до објављивања овог чланка.

Ако желите да проверите да ли је ваш уређај рањив на МедиаТек-су, онда ручно покрените скрипту коју је објавио КСДА Мембер дипломатиц у овој теми КСДА форума. Ако унесете роот схелл (знаћете када се симбол промени из $ у #), тада ћете знати да експлоатација функционише. Ако функционише, мораћете да сачекате да произвођач вашег уређаја уведе ажурирање које закрпа МедиаТек-су. Ако ваш уређај пријави ниво безбедносне закрпе од 2020-03-05, што је најновији СПЛ за март 2020, онда је скоро сигурно заштићен од МедиаТек-су. У супротном, мораћете само да проверите да ли је ваш уређај рањив.

Ажурирање 1 (2.3.2020. у 21:45 ЕСТ): Овај чланак је ажуриран како би се разјаснило да је дипломатски члан КСДА заправо био свестан обима ове рањивости чим је открио још у фебруару 2019., али да није био свестан употребе експлоатације у дивљини до објављивања овог чланак. Такође смо исправили нашу формулацију у вези са једним разлогом зашто је дипломатски одбио да подели изворни код пројекта.