Exploit, Qualcomm'un EDL Modunu Hedefliyor, Bazı Xiaomi, OnePlus, Nokia ve Diğer Cihazları Etkiliyor

Xda DoluNov 09, 2023

Qualcomm cihazlarının bir EDL modu vardır ve eğer OEM'ler tarafından piyasaya sürülen doğru araçlara sahipseniz bu moddan yararlanılabilir gibi görünmektedir.

Qualcomm yonga seti bulunan cihazlarda Pçevre BevetbenOader (PBL), genellikle Android sistemini önyükler, ancak aynı zamanda EDL modu olarak bilinen alternatif bir önyükleme modunu da barındırır. EDL modu Qualcomm'un ebirleşme Dkendi yükü Mode ve izin verir Öorijinal eekipman Müreticinin (OEM) bir cihazdaki flash yazılımını zorlamasını sağlar. Bu değiştirilemez (salt okunur mod) ve cihazın depolama alanı üzerinde tam kontrole sahiptir. OnePlus ve Xiaomi dahil birçok OEM, EDL modunu kullanan ve programlayıcı olarak bilinen araçları piyasaya sürdü. Bir cihazın engelini kaldırmak için Firehose olarak bilinen bir protokol varken, Nokia gibi şirketlerin diğer araçları da sızdırıldı. Firehose, bir cihazın belleğindeki verileri inceleme yeteneğinin yanı sıra, cihazları flaşlamak için bir dizi komuttan yararlanabilir. Güvenlik araştırmacıları

Karaca Hay (@roeehay) Ve Noam Hadad itibaren Alef Araştırması saldırgana etkili bir şekilde izin veren bu modu kullanarak kritik cihaz güvenlik açıklarını keşfettik tam cihaz erişimi.

Bunu not etmek önemlidir Bu istismar, cihaza fiziksel erişim gerektirir, ancak yine de inanılmaz derecede tehlikelidir ve muhtemelen yamalanamaz. Saldırganlar, Nokia 6'daki güvenli önyüklemeyi atlamak için EDL moduna verilen erişim düzeyini kullanarak, güven zinciri ve Android işletim sistemi de dahil olmak üzere önyükleme sırasının her bölümünde tam kod yürütme elde etme kendisi. Diğer cihazlarda da aynı şekilde çalışacağı teorik olarak öne sürülüyor ve araştırmacılar ayrıca herhangi bir veri kaybı olmadan birden fazla Xiaomi cihazının kilidini açmayı ve rootlamayı başardılar.

Bu istismardan hangi cihazlar etkilendi?

İlk olarak etkilenen cihazlar.

Etkilenen cihazların listesi.

  • LG G4
  • Nokia 6 (d1c)
  • Nokia 5
  • Nexus 6 (shamu)
  • Nexus 6P (balık avcısı)
  • Moto G4 Artı
  • OnePlus 5 (çizburger)
  • OnePlus 3T
  • OnePlus 3
  • OnePlus 2
  • OnePlusX
  • Bir artı bir
  • ZTE Akson 7
  • ZUK Z1
  • ZUK Z2
  • Xiaomi Not 5A (çizgili)
  • Xiaomi Note 5 Prime (ugg)
  • Xiaomi Not 4 (orta)
  • Xiaomi Not 3 (jason)
  • Xiaomi Not 2 (akrep)
  • Xiaomi Mix (lityum)
  • Xiaomi Mix 2 (chiron)
  • Xiaomi Mi 6 (yay)
  • Xiaomi Mi 5s (oğlak burcu)
  • Xiaomi Mi 5s Plus (natrium)
  • Xiaomi Mi 5x (tiffany)
  • Xiaomi Mi 5 (ikizler)
  • Xiaomi Mi 3 (kankro)
  • Xiaomi Mi A1 (çok)
  • Xiaomi Mi Max2 (oksijen)
  • Xiaomi Redmi Not 3 (kenzo)
  • Xiaomi Redmi 5A (riva)
  • Xiaomi Redmi 4A (pembe)

devamını oku

Android Telefondan Yararlanma

Tipik bir Android Qualcomm Telefonunun Önyükleme Sırası

Nasıl yararlanılabileceğini açıklamadan önce, tipik bir Android cihazının önyükleme sırasını anlamak önemlidir. Syazılım Bevetbenoader (SBL), imem'e yüklenmeden önce orijinalliği kontrol edilen, dijital olarak imzalanmış bir önyükleyicidir. imem, hata ayıklama ve DMA için kullanılan hızlı bir çip belleğidir (Ddoğrudan Manı Access) işlemlerine aittir ve Qualcomm yonga setlerine aittir.

Bazı cihazlarda bir e bulunurXgerilebilir BevetbenSBL yerine oader (XBL) kullanır, ancak önyükleme işlemi hemen hemen aynıdır. SBL veya XBL daha sonra fastboot'u uygulayan ABOOT'u başlatır. Bunu takiben TrustZone (donanım tabanlı güvenlik) de yüklenir. TrustZone, ABOOT'un orijinalliğini donanım tabanlı bir kök sertifika yoluyla kontrol eder. SBL (veya bazı durumlarda XBL), yanlış imzalanmış (veya imzasız) bir ABOOT'u reddetmek için tasarlanmıştır.

Kimlik doğrulaması yapıldıktan sonra ABOOT, Linux çekirdeğini başlatmadan önce /boot ve /recovery öğelerinin orijinalliğini kontrol eder. Bazı sistem hazırlıkları yapıldıktan sonra kod çalıştırma işlemi çekirdeğe aktarılır. ABOOT genellikle "Android Önyükleyici" olarak bilinir ve bir cihazın önyükleyicisinin kilidini açtığımızda, ABOOT'ta bu orijinallik kontrolünü devre dışı bırakmış oluruz.

Standart bir Android cihazının önyükleme sırası görselleştirildi. // Kaynak: Alef Araştırması

EDL Moduna Erişim

Bazı cihazlarda basit bir donanım kombinasyonu (veya daha kötüsü, birçok cihazda bulunan basit, özel bir fastboot komutu) bulunur. Xiaomi cihazları), Nokia cihazları gibi diğerlerinin, cihazın ana panelinde bulunan "test noktaları" olarak bilinen kısa pinlere ihtiyacı vardır. pano. Aralık 2017 güvenlik yamasından önce, birçok cihazda (Nexus 6 ve 6P dahil) "adb yeniden başlatma edl" komutunu çalıştırmak ve EDL moduna girmek de mümkündü. Bu durum o zamandan beri düzeltildi.

Test noktaları, cihazın ana kartının altındaki sarı renkli bir kutuda gösterilir. // Kaynak: Alef Araştırması

Diğer cihazlar ayrıca sisteme EDL modunda önyükleme yapmasını söylemek için belirli pinlerin kısa devre edildiği özel bir kablo olan "derin flaş" kablosu olarak bilinen kabloyu da kullanabilir. Eski Xiaomi cihazları, Nokia 5 ve Nokia 6 ile birlikte bu yöntemi kullanabilir. Diğer cihazlar da SBL'yi doğrulayamadıklarında EDL moduna önyükleme yapacaklardır.

Derin bir flaş kablosu

OnePlus 3/3T'de Tam Erişim Kazanmak için EDL Modunu Kullanma

EDL Modu, bir cihazda çeşitli şekillerde kullanılabilir; çoğunlukla cihazların zorla yanıp sönmesiyle bunların engelini kaldırmak için kullanılabilir. Yukarıda açıklandığı gibi, teorik olarak herkesin bu moda erişmesi güvenli olmalıdır; çünkü en kötü senaryo, ABOOT'un üretici tarafından resmi olarak imzalanmayan yazılımı reddetmesidir. Bu doğru olsa da, araştırmacılar tarafından gösterilen konsept istismarının kanıtıyla OnePlus 3 veya 3T ve dosyaları üzerinde tam kontrol elde etmek aslında mümkün.

Bu, OnePlus'ın ABOOT'un eski bir sürümünde (Android) erişilebilir bıraktığı iki çok tehlikeli komut aracılığıyla gerçekleştirilecektir. cihazın önyükleyicisinin kilidini açmak (önyükleme sırasında kullanıcıya bir uyarı gösterilmeden) ve devre dışı bırakmak için dm_verity. dm_verity aynı zamanda doğrulanmış önyükleme olarak da bilinir ve bir Android cihazdaki güvenli önyükleme sırasının bir parçasıdır. İki komut aşağıdaki gibidir.

fastboot oem disable_dm_verity
fastboot oem 4F500301/2

Firehose protokolünü kullanan aşağıdaki basit, 4 adımlı süreci gözlemleyin.

  1. Öncelikle cihazı EDL modunda başlatın. Bu, OxygenOS 5.0 veya önceki sürümlerde adb aracılığıyla ya da basit bir donanım tuş kombinasyonu kullanılarak yapılabilir.
  2. Aşağıdaki OxygenOS 4.0.2'nin eski sistem görüntüsünü indirin.
  3. aboot.bin'i firehose aracılığıyla flashlayın (daha önce de belirttiğimiz gibi aboot.bin'in fastboot'u uyguladığını unutmayın)
  4. Artık güvenli önyüklemeyi devre dışı bırakabilecek ve önyükleyicinin kilidini açabileceksiniz cihazı silmeden yukarıdaki iki fastboot komutunu kullanarak.

Hatırlarsanız, OnePlus'ın yaklaşık bir yıl önce, biri önyükleyicinin kilidini açan, diğeri ise güvenli önyüklemeyi devre dışı bırakan iki tehlikeli fastboot komutunu bıraktığı tespit edilmişti. Bir saldırganın olduğu doğru olsa da cihaza kötü amaçlı yazılım yükleyemiyorum, yapabilirler cihazın sürümünü düşürün sahip olmak daha eski, saldırı yazılımlarına karşı savunmasız. Bir saldırgan, yukarıdaki fastboot komutlarını basitçe çalıştırarak tam erişim cihaza.

İşte bu kadar, önyükleyicinin kilidi açık, güvenli önyükleme kapalı ve kesinlikle veri kaybı olmuyor. Saldırgan bunu bir adım daha ileri götürmek isterse, kullanıcının asla haberi olmayacak şekilde cihaza root erişimi sağlayan kötü amaçlı bir özel çekirdeği flaşlayabilir.

Firehose, OEM imzalı bir programcıyı kabul eden ve yukarıdaki saldırının gerçekleştirilme şekli olan Qualcomm Sahara protokolü üzerinden çalışır. Bir cihaza bağlandığında USB üzerinden SBL görevi görür. Çoğu programcının kullandığı Yangın hortumu Araştırmacıların tam cihaz kontrolü elde etmek için kullandığı EDL modunda bir telefonla iletişim kurmak. Araştırmacılar ayrıca bunu şunun için kullandılar: Değiştirilmiş bir görüntüyü yanıp sönerek bir Xiaomi cihazının kilidini açın bu da önyükleyicinin kilidini açtı. Daha sonra root erişimi sağlayan özel bir çekirdeği flashladılar ve SELinux'u izinli olarak başlattılar ve ayrıca şifrelenmiş kullanıcı verisi görüntüsünü cihazdan çıkardılar.

Çözüm

OEM'lerin bu programcıları neden Qualcomm'dan çıkardığı bilinmiyor. Nokia, LG, Motorola ve Google programcıları yayınlanmak yerine sızdırıldı ancak araştırmacılar, Nokia 6'daki tüm güven zincirini kırın ve benzer yöntemlerle tam cihaz erişimi elde edin. sömürü. Saldırının bu programcıları destekleyen herhangi bir cihaza taşınabileceğinden eminler. Mümkünse, OEM'ler, cihaz donanımı geri alındığında üfleyerek yazılımın geri alınmasını önleyen ve kullanıcıyı bunun gerçekleştiği konusunda uyarabilen donanım qFuses'larından yararlanmalıdır. İlgilenenler aşağıdaki araştırma makalesinin tamamına göz atabilir ve Nokia'nın tüm kullanımlarını da okuyabilir.

Kaynak: Alef Araştırması