سوءاستفاده از سه آسیب‌پذیری روز صفر گوشی‌های سامسونگ

به گزارش کارگروه امنیت سایبربان؛ شرکت گوگل می‌گوید شواهدی در دست دارد که نشان می‌دهد یک فروشنده نظارتی از سه آسیب‌پذیری امنیتی روز صفر که در گوشی‌های هوشمند نسل جدید سامسونگ یافت شده است، سوءاستفاده می‌کند.

این آسیب‌پذیری‌ها که در نرم‌افزار سفارشی سامسونگ کشف شده‌اند، با هم به‌عنوان بخشی از یک زنجیره سوءاستفاده برای هدف قرار دادن گوشی‌های سامسونگ با اندروید مورد استفاده قرار گرفته اند. آسیب‌پذیری‌های زنجیره‌ای به مهاجم اجازه خواهد داد تا به‌عنوان کاربر اصلی امتیاز خواندن و نوشتن هسته را به دست آورد و درنهایت داده‌های دستگاه را افشا کند.

مدی استون، محقق امنیتی پروژه روز صفر گوگل، در یک پست وبلاگی گفته است که زنجیره بهره‌برداری گوشی‌های سامسونگ را با تراشه اگزینوس که دارای نسخه هسته خاصی هستند هدف قرار می‌دهد. گوشی‌های سامسونگ با تراشه‌های اگزینوس عمدتاً در سراسر اروپا، خاورمیانه و آفریقا فروخته می‌شوند، جایی که احتمالاً هدف‌های نظارتی در آن قرار دارند.

استون می‌گوید که گوشی‌های سامسونگ که در آن زمان، هسته آسیب‌دیده را شامل می شده‌اند، مدل‌های S10، A50 و A51 هستند.

از زمان اضافه شدن این نقص‌ها، یک برنامه مخرب اندروید از آن‌ها سوءاستفاده کرده است. برنامه‌ای که ممکن است کاربر فریب خورده باشد تا آن را از خارج از فروشگاه پلی نصب کند. این برنامه مخرب به مهاجم اجازه می‌دهد تا از جعبه ایمنی برنامه که برای مهار فعالیت آن طراحی شده است فرار کند و به بقیه سیستم‌عامل دستگاه دسترسی پیدا کند. استون می‌گوید که تنها بخشی از برنامه بهره‌برداری به دست آمده است، بنابراین مشخص نیست که هدف نهایی چه بوده است، حتی اگر سه آسیب‌پذیری راه را برای تحویل نهایی آن هموار کنند.

استون می‌افزاید:

اولین آسیب‌پذیری در این زنجیره که همان خواندن و نوشتن فایل دلخواه است، پایه و اساس این زنجیره می‌باشد که در چهار زمان مختلف استفاده شده و حداقل یک‌بار در هر مرحله استفاده شده است. مؤلفه‌های جاوا در دستگاه‌های اندرویدی باوجوداینکه در چنین سطح ممتازی اجرا می‌شوند، محبوب‌ترین اهداف برای محققان امنیتی نیستند.

گوگل از ذکر نام فروشنده نظارت تجاری خودداری کرده اما گفته است که این بهره‌برداری از الگویی مشابه با آلودگی‌های اخیر دستگاه پیروی می‌کند که در آن از برنامه‌های مخرب اندروید برای ارائه نرم‌افزارهای جاسوسی قدرتمند دولت-ملت سوءاستفاده می‌شود.

در اوایل سال جاری، محققان امنیتی هرمیت، یک نرم‌افزار جاسوسی اندروید و آی او اس را کشف کردند که توسط آزمایشگاه آر سی اس (واقع در میلان، ایتالیا) توسعه‌یافته و در حملات هدفمند دولت‌ها با قربانیان شناخته شده در ایتالیا و قزاقستان استفاده می شده‌اند. هرمیت به فریب دادن یک هدف برای دانلود و نصب برنامه مخرب، مانند یک برنامه کمکی مخفی حامل سلولی، از خارج از فروشگاه برنامه تکیه می‌کند، اما سپس بی سروصدا مخاطبین، فایل‌های صوتی ضبط‌شده، عکس‌ها، فیلم‌ها و داده‌های دقیق موقعیت مکانی قربانی را می‌دزدد. گوگل شروع به اطلاع‌رسانی به کاربران اندرویدی کرده است که دستگاه‌هایشان توسط هرمیت در معرض خطر قرار گرفته است. فروشنده نظارتی کانکسا همچنین از برنامه‌های جانبی مخرب برای هدف قرار دادن دارندگان اندروید و آیفون استفاده می‌کند.

گوگل این سه آسیب‌پذیری را در اواخر سال 2020 به سامسونگ گزارش کرده و سامسونگ در مارس 2021 وصله‌هایی را برای گوشی‌های آسیب‌دیده منتشر کرده است، اما در آن زمان فاش نکرد که این آسیب‌پذیری‌ها به‌طور فعال مورد سوءاستفاده قرار گرفته‌اند. استون می‌گوید که سامسونگ از آن زمان متعهد شده است که پس از اپل و گوگل، در به‌روزرسانی‌های امنیتی خود افشاگری را در زمانی که آسیب‌پذیری‌ها به‌طور فعال مورد سوءاستفاده قرار می‌گیرند، آغاز کند.

استون با بیان اینکه تحقیقات بیشتر می‌تواند آسیب‌پذیری‌های جدیدی را در نرم‌افزارهای سفارشی ساخته شده توسط سازندگان دستگاه‌های اندرویدی مانند سامسونگ کشف کند، اضافه می‌کند:

تحلیل این زنجیره بهره‌برداری، بینش‌های جدید و مهمی را در مورد اینکه چگونه مهاجمان دستگاه‌های اندرویدی را هدف قرار می‌دهند، ارائه کرده است. این امر نیاز به تحقیقات بیشتری در مورد اجزای خاص سازنده را برجسته می‌کند و نشان می‌دهد که کجا باید تجزیه‌وتحلیل بیشتر انجام دهیم.