Що таке QuadRooter? Чи вразливі 900 мільйонів пристроїв Android?

Що насправді є QuadRooter і як він працює на пристроях Android?

Наразі в новинах, що 900 мільйонів пристроїв Android вразливі:

У програмному забезпеченні, яке використовується на десятках мільйонів пристроїв Android, виявлено серйозні недоліки безпеки, які можуть дати зловмисникам повний доступ до даних телефону.

Про помилки виявили дослідники Checkpoint, які розглядали програмне забезпечення, що працює на чіпсетах американської фірми Qualcomm.

Компанія повідомила, що процесори Qualcomm є приблизно в 900 мільйонах телефонів Android.

У статті також сказано, що це щось на рівні чіпсету.

Це правда?

І як це працює всередині?

Що таке QuadRooter?

Quadrooter - це ім'я для набору вразливих місць безпеки, включаючи

• CVE-2016-2059
• CVE-2016-2504
• CVE-2016-2503
• CVE-2016-5340

Це слабкі місця в системному програмному забезпеченні Linux / Android, наданому виробником чіпсетів Qualcomm.

Їх можна використовувати додатком, який ви завантажуєте, навіть тим, хто не вимагає жодних спеціальних привілеїв. Такий додаток може використовувати ці вразливості для отримання більш високого рівня контролю над вашим телефоном, включаючи доступ до будь-яких приватних даних, які ви зберігаєте на ньому.

Національна база даних про вразливості США дає наступний опис уразливих груп, перелічених вище

2059 рік

Функція msm_ipc_router_bind_control_port в net / ipc_router / ipc_router_core.c в модулі ядра маршрутизатора IPC для ядра Linux 3.x, як використовується в Qualcomm Innovation Center (QuIC), внесок Android для пристроїв MSM та інших продуктів, не підтверджує, чи є порт клієнтський порт, який дозволяє зловмисникам отримати привілеї або викликати відмову в обслуговуванні (стан перегонів та корупцію списку), роблячи багато BIND_CONTROL_PORT дзвінків ioctl.

2504

Драйвер графічного процесора Qualcomm в Android до 2016-08-05 на пристроях Nexus 5, 5X, 6, 6P та 7 (2013) дозволяє зловмисникам отримувати привілеї за допомогою створеного додатка, який називається внутрішнім помилкою Android 28026365 та внутрішньою помилкою Q100comm CR1002974.

2503

Драйвер графічного процесора Qualcomm в Android до 2016-07-05 на пристроях Nexus 5X та 6P дозволяє зловмисникам отримувати привілеї за допомогою створеного додатка, такого як внутрішня помилка Android 28084795 та внутрішня помилка Qualcomm CR1006067.

5340

Функція is_ashmem_file у драйверах / staging / android / ashmem.c у певному Android-патчі Qualcomm Innovation Center (QuIC) для ядра Linux 3.x неправильно виконує перевірку покажчиків у графічному модулі KGSL Linux, який дозволяє зловмисникам обходити передбачені обмеження доступу використовуючи рядок / ashmem як назву зубного ряду.

Ви можете завантажити додаток під назвою " Сканер Quadrooter " з магазину Google Play - він підкаже, чи вразливий ваш телефон. Додаток було написано Checkpoint Software Technologies Ltd . Я встановив його, запустив і видалив. Крім цього, я не можу сказати, чи це надійно в будь-якому випадку.

Qualcomm видав виправлення програмного забезпечення виробникам

Google звернувся до декількох із них у своїх бюлетенях з безпеки за липень та серпень

Issue                                    CVE            Severity    Affects 
                                                                    Nexus?
Elevation of privilege vulnerability in  CVE-2016-2503,  Critical   Yes
Qualcomm GPU driver (Device specific)    CVE-2016-2067

...

Elevation of privilege vulnerability in  CVE-2016-2504,  Critical   Yes
Qualcomm GPU driver                      CVE-2016-3842

...

Elevation of privilege vulnerability in Qualcomm GPU driver

An elevation of privilege vulnerability in the Qualcomm GPU driver could 
enable a local malicious application to execute arbitrary code within the 
context of the kernel. This issue is rated as Critical due to the 
possibility of a local permanent device compromise, which may require 
reflashing the operating system to repair the device.

CVE References  Severity    Updated Nexus devices   Date reported
CVE-2016-2504    Critical   Nexus 5, Nexus 5X,      Apr 5, 2016
A-28026365                  Nexus 6, Nexus 6P, 
QC-CR#1002974               Nexus 7 (2013)

Я підозрюю, що власники вразливих телефонів мають ряд варіантів, включаючи деякі або всі

• дочекайтеся, коли виробник надасть оновлення по повітрю, щоб виправити це.
• не завантажуйте нових програм
• не дозволяти додаткам оновлюватись до усунення вразливостей
• видаліть усі зайві програми
• вимкніть телефон до тих пір, поки виправлення не буде готове

Я думаю, що багато хто вважав би принаймні останній елемент надмірним.

Чи вразливі 900 мільйонів пристроїв Android?

Продажі смартфонів у всьому світі складають близько 1 мільярда щороку .

Qualcomm є головним виробником інтегральних мікросхем, що використовуються в смартфонах. Вони продають різноманітні ІС, включаючи популярну лінійку процесорів на базі ARM на основі Snapdragon. Їх річний дохід складає близько 25 мільярдів доларів.

За даними Forbes

За даними ABI Research, провідний виробник чіпсетів Qualcomm залишився лідером на базі чіпсетів LTE в 2015 році. Компанія займала 65% ринку чіпсетів базової смуги LTE за рік.

У 2016 році можливо використовувати 2 мільярди смартфонів . Звичайно, чимало таких буде пристроїв IOS. Там все ще можуть бути один або два користувачі телефону Windows :-).

Середній термін експлуатації смартфона може скласти два роки, а може скласти чотири роки . Звичайно, є ринок секонд-хендів для смартфонів. Здається, правдоподібно, що багато смартфонів старше одного року все ще використовуються.

Звичайно, є пристрої Android, які не є смартфонами. За оцінками Google, у всьому світі є 1,4 мільярда активних Android-пристроїв . 65% з 1,4 мільярда - 910 мільйонів. Ось як журналісти досягли цієї цифри. Якщо так, то це зовсім не точно.

Однак, якщо припустити, що вразливі водії існують кілька років, здається, що це може постраждати сотні мільйонів пристроїв. 900 мільйонів, здається, є крайнім верхнім кінцем можливих оцінок.

Пов'язані

• 2016-08-10 " Google каже, що більшість користувачів" захищені "від" Quadrooter " - Play Store повинен помітити подвиги"
• 2016-08-08 Уразливість QuadRooter: 5 речей, які потрібно знати про цей відлякувач безпеки Android

Детальніше про Quadrooter

Дефект викрадення трафіку Linux зачіпає 80% пристроїв Android, включаючи витяги Nougat

Хоча існує велика кількість смартфонів і планшетів, що знаходяться під загрозою, Lookout стверджує, що недолік важко експлуатувати, дещо пом’якшуючи ризики:

• Уразливість дозволяє зловмиснику віддалено шпигувати за людьми, які використовують незашифрований трафік або погіршують зашифровані з'єднання. У той час як людина середньої атаки тут не потрібна, зловмиснику все одно потрібно знати джерело та адресу IP для успішного виконання атаки.

  • Тоді ми можемо підрахувати, що всі версії Android, на яких встановлено Linux Kernel 3.6 (приблизно Android 4.4 KitKat) до останньої версії, вразливі до цієї атаки або 79,9 відсотка екосистеми Android.

  • Ми знайшли патч для Linux ядра був автором 11 липня 2016 року , проте, перевірити останню версію превью розробник Android нуги, це не виглядає як Kernel пропатчений проти цього недоліку. Це, швидше за все, тому, що виправлення не було доступно до останнього оновлення Android.

(Наголос надається)

Для виправлення цієї вразливості пристрої Android потребують оновлення ядра Linux. На щастя, існує декілька засобів захисту, які користувач може виконати до виходу патча:

• Зашифруйте свої комунікації, щоб запобігти їх шпигуванню. Це означає, що веб-сайти, на яких ви переглядаєте, та додатки, які ви використовуєте, використовують HTTPS з TLS. Ви також можете використовувати VPN, якщо хочете додати додатковий крок обережності.

• Якщо у вас є вбудований пристрій Android, ви можете посилити цю атаку, скориставшись інструментом sysctl і змінивши значення net.ipv4.tcp_challenge_ack_limit на щось дуже велике, наприклад, net.ipv4.tcp_challenge_ack_limit = 999999999

Шахраї помістили в Google Play фіктивну програму для виправлення безпеки Android - витяги

Шахраї поставили підроблену програму виправлення безпеки Android в Google Play, щоб заразити смартфони.

Неправдивий патч, упакований як додаток, був коротко доступний в Google Play і призначений для виправлення так званих помилок QuadRooter, які були виявлені охоронною фірмою Check Point минулого тижня.

За даними охоронної фірми ESET, Google витягнув із Google Play ці два програми, які ображають. Обидва назвали "Fix Patch QuadRooter" від видавця Kiwiapps Ltd.

Дослідники ESET заявили, що це вперше підроблені патчі безпеки Android, щоб заманювати потенційних жертв