Google zegt bewijs te hebben dat een commerciële bewakingsleverancier misbruik maakte van drie zero-day-beveiligingskwetsbaarheden in nieuwere Samsung-smartphones. In het bijzonder betrof dit de Galaxy S10, A50 en A51. Dat zijn toestellen die enkele jaren geleden, in 2019 (S10 en A50) en 2020 (A51) op de markt kwamen, maar ook nu nog veel in gebruik zijn.
De kwetsbaarheden werden ontdekt in de op maat gemaakte software van Samsung. Ze werden samen gebruikt als onderdeel van een exploitketen om Samsung-telefoons met Android aan te vallen. De kwetsbaarheden stellen een aanvaller in staat om als root gebruiker lees- en schrijfrechten in de kernel te krijgen. Daarmee kunnen uiteindelijk de gegevens van een apparaat blootgelegd worden.
In een blogpost schrijft Google Project Zero-beveiligingsonderzoeker Maddie Stone dat de exploitketen zich richt op Samsung-telefoons met een Exynos processor en een specifieke kernelversie. Toestellen met een dergelijke Exynos processor worden met name in Europa, het Midden-Oosten en Afrika verkocht. Aangenomen wordt dat de doelwitten van de malafide gebruikers dan ook vooral in die regio’s wonen.
De kwetsbaarheden werden uitgebuit door een kwaadaardige Android-app. Gebruikers werden volgens Stone mogelijk misleid om de betreffende app buiten de Google Play store om te installeren op hun toestel. Met die malafide app kunnen de hackers de app-sandbox omzeilen en toegang krijgen tot de rest van het besturingssysteem van het toestel.
“De eerste kwetsbaarheid in deze keten, het willekeurige bestand lezen en schrijven, was de basis van deze keten. De Java-componenten in Android-apparaten zijn meestal niet de meest populaire doelen voor beveiligingsonderzoekers, ondanks dat het op zo’n bevoorrecht niveau draait”, aldus Stone.
Google heeft de naam van de betreffende bewakingsleverancier niet bekend gemaakt. Het bedrijf gaf wel aan dat de exploit een patroon volgt dat vergelijkbaar is met recente malafide acties waarbij kwaadaardige Android-apps werden misbruikt om spyware voor bepaalde landen te leveren.
Google meldde de drie kwetsbaarheden eind 2020 aan Samsung en de Koreaanse fabrikant rolde in maart 2021 patches uit op getroffen telefoons. Samsung verzuimde echter te melden dat de kwetsbaarheden actief werden uitgebuit. Samsung heeft sindsdien toegezegd te gaan onthullen wanneer kwetsbaarheden actief worden uitgebuit, in navolging van Apple en Google, die ook in hun beveiligingsupdates onthullen wanneer kwetsbaarheden worden aangevallen.
“De analyse van deze exploitketen heeft ons nieuwe en belangrijke inzichten opgeleverd in hoe aanvallers zich op Android-apparaten richten. Het benadrukt de behoefte aan meer onderzoek naar fabrikantspecifieke componenten. Het laat zien waar we verdere variantenanalyse zouden moeten doen”, aldus Stone.
