Експлоатација циља на Куалцоммов ЕДЛ режим, утиче на неке Ксиаоми, ОнеПлус, Нокиа и друге уређаје

Уређаји са Куалцомм чипсетима имају а Примари Боотлоадер (ПБЛ) који обично покреће Андроид систем, али такође садржи алтернативни режим покретања познат као ЕДЛ режим. ЕДЛ режим је Куалцомм-ов Ехитност Довнлоад Мода и дозвољава ан Ооригинално Екуипмент Мпроизвођача (ОЕМ) да наметну флеш софтвер на уређају. Ово се не може мењати (режим само за читање) и има потпуну контролу над складиштењем уређаја. Многи произвођачи оригиналне опреме, укључујући ОнеПлус и Ксиаоми, објавили су алате (познате као програмери) који користе ЕДЛ режим и протокол познат као Фирехосе за деблокирање уређаја, док су други алати компанија као што је Нокиа процурили. Фирехосе може да користи бројне команде за флешовање уређаја, заједно са могућношћу прегледа података у меморији уређаја. Истраживачи безбедности Роее Хаи (@роеехаи) и Ноам Хадад из Алепх Ресеарцх су открили критичне рањивости уређаја користећи овај режим, који ефективно одобрава нападачу пун приступ уређају.

Важно је то напоменути овај експлоат захтева физички приступ уређају, али је и даље невероватно опасан и вероватно се не може закрпити. Нападачи су искористили ниво приступа који је одобрен ЕДЛ режиму да заобиђу безбедно покретање на Нокиа 6, победивши ланац поверења и добијање потпуног извршавања кода у сваком делу секвенце покретања укључујући и Андроид ОС себе. Предвиђено је да ради на исти начин на другим уређајима, а истраживачи су такође успели да откључају и искорени више Ксиаоми уређаја без губитка података.

На које уређаје утиче ова експлоатација?

Прво, уређаји који су погођени.

Листа погођених уређаја.

• ЛГ Г4
• Нокиа 6 (д1ц)
• Нокиа 5
• Некус 6 (шаму)
• Некус 6П (пецарош)
• Мото Г4 Плус
• ОнеПлус 5 (чизбургер)
• ОнеПлус 3Т
• ОнеПлус 3
• ОнеПлус 2
• ОнеПлус Кс
• Један плус један
• ЗТЕ Акон 7
• ЗУК З1
• ЗУК З2
• Ксиаоми Ноте 5А (ружна)
• Ксиаоми Ноте 5 Приме (угг)
• Ксиаоми Ноте 4 (мидо)
• Ксиаоми Ноте 3 (Јасон)
• Ксиаоми Ноте 2 (шкорпион)
• Ксиаоми Мик (литијум)
• Ксиаоми Мик 2 (цхирон)
• Ксиаоми Ми 6 (сагит)
• Ксиаоми Ми 5с (јарац)
• Ксиаоми Ми 5с Плус (натријум)
• Ксиаоми Ми 5к (тифани)
• Ксиаоми Ми 5 (близанац)
• Ксиаоми Ми 3 (цанцро)
• Ксиаоми Ми А1 (тисот)
• Ксиаоми Ми Мак2 (кисеоник)
• Ксиаоми Редми Ноте 3 (кензо)
• Ксиаоми Редми 5А (рива)
• Ксиаоми Редми 4А (ружичаст)

Опширније

Искоришћавање Андроид телефона

Редослед покретања типичног Андроид Куалцомм телефона

Важно је прво разумети секвенцу покретања типичног Андроид уређаја пре него што објасните како се може искористити. Тхе Софваре Боотлоадер (СБЛ) је дигитално потписан боотлоадер који се проверава за аутентичност пре него што се учита у имем. имем је брза меморија на чипу која се користи за отклањање грешака и ДМА (дирецт мемори аццесс) трансакције и власништво је Куалцомм чипсета.

Неки уређаји имају еИксзатегнути Боотлоадер (КСБЛ) уместо СБЛ-а, али процес покретања је прилично исти. СБЛ или КСБЛ затим покреће АБООТ, који имплементира брзо покретање. Након тога, ТрустЗоне (безбедност заснована на хардверу) се такође учитава. ТрустЗоне проверава аутентичност АБООТ-а путем хардверског роот сертификата. СБЛ (или КСБЛ, у неким случајевима) је дизајниран да одбије погрешно потписани (или непотписани) АБООТ.

Након аутентификације, АБООТ проверава аутентичност /боот и /рецовери пре него што покрене Линук кернел. Неке припреме система су обављене, а затим се извршење кода преноси на језгро. АБООТ је уобичајено познат као „Андроид покретачки програм“, а када откључамо покретач уређаја, онемогућавамо ову проверу аутентичности у АБООТ-у.

Приступ ЕДЛ режиму

Док неки уређаји имају једноставну комбинацију хардвера (или још горе, једноставну власничку команду за брзо покретање присутну у многима Ксиаоми уређаји), други, као што су Нокиа уређаји, требају кратке игле познате као „тестне тачке“ присутне на главном уређају уређаја одбор, табла. Такође је било могуће, пре безбедносне закрпе из децембра 2017, једноставно покренути „адб ребоот едл“ на многим уређајима (укључујући Некус 6 и 6П) и ући у ЕДЛ режим. Ово је од тада поправљено.

Други уређаји такође могу да користе оно што је познато као „дубоки флеш“ кабл, који је посебан кабл са одређеним пиновима који су кратко спојени да би рекли систему да се уместо тога покрене у ЕДЛ режим. Стари Ксиаоми уређаји могу да користе ову методу, заједно са Нокиа 5 и Нокиа 6. Други уређаји ће се такође покренути у ЕДЛ режиму када не успеју да верификују СБЛ.

Коришћење ЕДЛ режима за добијање пуног приступа на ОнеПлус 3/3Т

ЕДЛ режим се може користити на више начина на уређају, углавном за уклањање уређаја насилним трептањем. Као што је горе објашњено, теоретски би требало да буде безбедно за било кога да приступи овом режиму, јер је најгори сценарио да ће АБООТ одбити софтвер који није званично потписан од стране произвођача. Иако је ово тачно, заправо је могуће стећи потпуну контролу над ОнеПлус 3 или 3Т и његовим датотекама као доказ експлоатације концепта који су показали истраживачи.

Ово ће бити урађено кроз две веома опасне команде које је ОнеПлус оставио доступним у старијој верзији АБООТ-а (Андроид боотлоадер), да би се откључао покретач уређаја (без упозорења кориснику при покретању) и онемогућио дм_верити. дм_верити је такође познат као верификовано покретање и део је безбедног низа покретања на Андроид уређају. Две команде су следеће.

fastboot oem disable_dm_verity

fastboot oem 4F500301/2

Посматрајте једноставан процес у 4 корака испод који користи Фирехосе протокол.

1. Прво покрените уређај у ЕДЛ режим. Ово се може урадити преко адб-а на ОкигенОС-у 5.0 или старијем или коришћењем једноставне комбинације хардверских тастера.
2. Преузмите стару слику система испод ОкигенОС 4.0.2.
3. Фласх абоот.бин кроз фирехосе (запамтите да абоот.бин имплементира брзо покретање, као што смо раније споменули)
4. Сада ћете моћи да онемогућите безбедно покретање и откључате покретач без брисања уређаја једноставно коришћењем две горње наредбе за брзо покретање.

Ако се сећате, раније је утврђено да је ОнеПлус оставио две опасне команде за брзо покретање пре скоро годину дана, једну која је откључала покретач и једну која је онемогућила безбедно покретање. Док је тачно да нападач не може да инсталира злонамерни софтвер на уређај, могу надоградите уређај имати старији, рањиви на софтвер за нападе. Једноставно покретањем горњих команди за брзо покретање, нападач може имати потпуни приступ на уређај.

И то је то, боотлоадер је откључан, безбедно покретање је искључено и нема апсолутно никаквог губитка података. Ако би нападач желео да направи корак даље, могао би да флешује злонамерно прилагођено језгро које омогућава роот приступ уређају за који корисник никада не би знао.

Фирехосе ради преко Куалцомм Сахара протокола, који прихвата програмер потписан од ОЕМ-а и на тај начин би се извршио горњи напад. Када је повезан са уређајем, делује као СБЛ преко УСБ-а. Већина програмера користи Ватрогасно црево да комуницирају са телефоном у ЕДЛ режиму, што су истраживачи искористили да би стекли потпуну контролу над уређајем. Истраживачи су то такође користили да откључајте Ксиаоми уређај једноставним трептањем модификоване слике који је откључао боотлоадер. Затим су покренули прилагођено језгро које је дало роот приступ и покренуло СЕЛинук у пермиссиве и такође извукло шифровану слику корисничких података са уређаја.

Закључак

Непознато је зашто ОЕМ-ови ослобађају ове програмере из компаније Куалцомм. Програмери Нокије, ЛГ-ја, Мотороле и Гугла су процурили уместо да буду објављени, али су истраживачи успели прекинути цео ланац поверења у Нокиа 6 и добити пун приступ уређају помоћу сличних метода експлоатације. Они су уверени да се напад може пренети на било који уређај који подржава ове програмере. Ако је могуће, произвођачи оригиналне опреме треба да користе хардверске кусигураче који спречавају враћање софтвера, тако што ће прегорети када се хардвер уређаја врати и може упозорити корисника да се то догодило. Заинтересовани могу да погледају цео истраживачки рад у наставку и такође могу да прочитају пуну експлоатацију компаније Нокиа.

---

Извор: Алеф Ресеарцх