ОнеПлус Норд 2 има рањивост која омогућава нападачу да добије неограничен приступ основној љусци. Читајте даље да бисте сазнали више!
Многи од нас овде у КСДА-Девелоперс првобитно су почели да претражују форуме по први пут када смо желели да роот наше Андроид уређаје. У то време, људи су се често ослањали на методе „основа једним кликом“: апликације или скрипте које садрже корисни терети који циљају на познате рањивости ескалације привилегија постојећег фирмвера да би добили роот приступ. Са побољшањима и променама у шифровању, дозволама и руковању у вези са приватношћу, савремени Андроид уређаји су релативно безбедни од таквих вектора напада, али увек ће остати простора за подвиге и рањивости.
ОнеПлус је можда зацементирао своје име међу главним Андроид ОЕМ произвођачима, али његови телефони јесу нема странца до безбедносне пропусте. Овог пута, компанија је оставила прилично занимљиву (читај: забрињавајућу) рањивост незакрпљену на ОнеПлус Норд 2 од његовог објављивања. Иако искоришћавање рупе захтева физички приступ уређају, нападач може ефикасно
Позадина
Данас, када говоримо о томе да имате роот приступ на Андроид паметном телефону, људи обично размишљају о томе закрпе залихе боот слике помоћу Магиска прво, а затим флешовање закрпљене слике на циљни уређај након откључавања покретачког програма. На тај начин, крајњи корисник може да има надгледани приступ бинарном систему „су“ преко менаџерске апликације. Пар других експериментални приступи постоје, али ретко се користе у толикој мери.
Међутим, када је у питању претпродукција, сценарио је потпуно другачији. Док припремају фирмвер уређаја, инжењери морају да имају укључене различите параметре евидентирања, укључујући роот приступ. Чак и на а усердебуг градити, Андроид Дебуг Бридге Даемон (адбд) ради као роот, тако да неко може имати привилеговани приступ љусци за потребе отклањања грешака. Када је фирмвер спреман за испоруку, сви ови параметри за отклањање грешака морају бити искључени пре него што се покрене.
Али шта се дешава ако то заборавите? Видећемо, пошто званична издања ОкигенОС-а за ОнеПлус Норд 2 долазе са таквим недостатком.
ОнеПлус Норд 2 -- Рањивост Роот Схелл
Неки произвођачи оригиналне опреме као што је Самсунг нуде могућност бочног учитавања пакета ажурирања приликом опоравка залиха на малопродајним уређајима. У том случају, adbd бинарни програм ради са значајно високом привилегијом током бочног учитавања, али се сам затвара чим се заврши процес ажурирања. Осим тога, није дозвољен приступ АДБ-у у окружењу за опоравак које обезбеђује ОЕМ.
ОнеПлус више не дозвољава корисницима да флешују ажурирани ЗИП пакет путем опоравка залиха преко АДБ сиделоад-а. Под претпоставком да је све остало конфигурисано како треба, окружење за опоравак обичног ОнеПлус уређаја требало би да буде безбедно од нападача који испоручују било коју врсту корисног оптерећења користећи АДБ. Нажалост, не иде све по плану у случају ОнеПлус Норд 2.
Како се испоставило, свако може да створи Андроид љуску за отклањање грешака са привилегијом роот унутар окружења за опоравак ОнеПлус Норд 2. Једна од критичних подешавања за отклањање грешака је очигледно стигла до производних верзија, што доводи до овог проблема.
Искоришћавање грешке на ОнеПлус Норд 2
Све што треба да урадите је да поново покренете ОнеПлус Норд 2 у режим опоравка. Нападач може да узме уређај и употреби једноставну комбинацију хардверског дугмета да га натера да пређе у режим опоравка. У ствари, нема потребе да дођете до стварног менија за опоравак, јер се рањиви одељак налази пре тога. Заслуге припадају старијем члану КСДА АндроПлус за истакавши постојање ове грешке још у октобру 2021.
- Док је телефон искључен, истовремено притискајте тастере за утишавање и напајање док не будете видите ОнеПлус лого са минијатурним натписом „РЕЦОВЕРИ МОДЕ“ у доњем левом углу екрана.
- Затим би требало да видите екран за избор језика. Нема потребе да идете напред, јер можемо покренути АДБ приступ управо одавде.
- Сада повежите телефон на ПЦ (или Мац) помоћу УСБ кабла. У случају да користите Виндовс, можете видети да се нови Андроид УСБ интерфејс за отклањање грешака појављује у Управљачу уређаја. Можда ћете такође морати да инсталирате одговарајући Андроид УСБ драјвер пре него што Виндовс може да препозна нови уређај. Корисници Линук-а и мацОС-а, с друге стране, могу да користе
lsusbкоманду за откривање присуства новог хардверског интерфејса. - С обзиром да већ имате најновију верзију АДБ и Фастбоот услужне програме инсталиране на вашем ПЦ/Мац-у, покрените инстанцу командне линије/ПоверСхелл/Терминал и извршите следећу команду:
Требало би да наведе Норд 2 у режиму опоравка. Ово је такође посебно интересантно, пошто стандардни АДБ промпт за ауторизацију овде није потребан. Можда ћете добити грешку „уређај неовлашћен“, али брисање постојеће базе података АДБ РСА кључева главног рачунара и поновно покретање АДБ сервера би на крају требало да вам омогући да га овластите.adb devices - Сада упутите
adbdда се покрене као роот:
Ова команда може да потраје дуго и вероватно ћете добити грешку временског ограничења. Ипак, садаadb rootadbdтреба да се покреће као роот. - На крају, проверите ниво привилегија љуске помоћу следеће команде:
adb shell whoami
Обим грешке
Потенцијалне злоупотребе ове безбедносне рањивости су застрашујуће. Са успешним нападом на ОнеПлус Норд 2, нападач може да избаци сваку партицију уређаја. Као резултат, целокупна партиција података — укључујући датотеке ускладиштене у типично недоступним приватним директоријумима података апликација — је доступна нападачу. У случају да је партиција података изашла као шифрована (због тога што је корисник поставио ПИН или лозинку), думп би и даље могао бити користан за форензичку анализу.
И не само то, можете да гурнете извршни фајл /data/local/tmp и покрените га одатле. Ово је класичан вектор напада, који може бити користан за ланчано учитавање другог експлоата. Штавише, пошто сада можете позвати setprop услужни програм као роот да модификујете различите вредности пропа, можете технички да отмете неке од привилегованих променљивих специфичних за ОЕМ. На крају, али не и најмање важно, чак и ако немате откључане опције за програмере, телефон ће аутоматски затражити приступ УСБ отклањању грешака након што позовете АДБ у опоравку и поновно покретање у уобичајено Андроид окружење, што значи да опсег рањивости није ограничен само на одељак за опоравак само.
Имајте на уму да не можете да инсталирате АПК датотеке користећи АДБ у окружењу за опоравак због чињенице да услужни програм Пацкаге Манагер није доступан тамо.
Како проверити да ли је ваш ОнеПлус Норд 2 погођен? (Савет: јесте)
Као што је раније поменуто, ову рањивост можете искористити и на редовном и на специјалном Пац-Ман издању ОнеПлус Норд 2. Укратко, ако унесете роот схелл (знаћете када се симбол љуске промени са $ до #), тада ћете знати да је недостатак присутан.
Успешно смо добили приступ роот љусци на најновији јавни индијски и европски ОкигенОС фирмвер за уређај, што значи свака појединачна ОнеПлус Норд 2 јединица је рањива у време писања овог чланка.
Шта је следеће?
Пратићемо ово питање како више информација буде доступно. ОнеПлус је дао следећу изјаву о овом питању:
Приватност и безбедност третирамо веома озбиљно. Овом питању дајемо приоритет и поделићемо ажурирање чим будемо имали више информација.
Иако све ово изгледа застрашујуће, имајте на уму да ће нападач и даље морати физички да приступи телефону да би добио приступ роот љусци. Док ОнеПлус не објави ажурирање које закрпи рањивост, покушајте да свој ОнеПлус Норд 2 држите даље од странаца. Иако нисмо наишли на случајеве злонамерне употребе, не можемо одбацити такву могућност јер је рањивост у дивљини већ најмање 2 месеца.