Что такое QuadRooter? Являются ли уязвимыми 900 миллионов устройств Android?

Что такое QuadRooter и как он работает на устройствах Android?

В настоящее время в новостях говорится, что 900 миллионов устройств Android уязвимы:

Серьезные недостатки безопасности, которые могли бы дать злоумышленникам полный доступ к данным телефона, были обнаружены в программном обеспечении, используемом на десятках миллионов устройств Android.

Ошибки были обнаружены исследователями Checkpoint, изучающими программное обеспечение, работающее на чипсетах американской фирмы Qualcomm.

По заявлению компании, процессоры Qualcomm находятся примерно в 900 миллионах телефонов Android.

В статье также говорится, что это что-то на уровне чипсета.

Это правда?

И как это работает внутри?

Что такое QuadRooter?

Quadrooter - это название ряда уязвимостей безопасности, включая

• CVE-2016-2059
• CVE-2016-2504
• CVE-2016-2503
• CVE-2016-5340

Это недостатки системного программного обеспечения Linux / Android, предоставляемого производителем чипсета Qualcomm.

Они могут быть использованы приложением, которое вы загружаете, даже тем, которое не запрашивает никаких особых привилегий. Такое приложение может использовать эти уязвимости, чтобы получить более высокий уровень контроля над вашим телефоном, включая доступ к любым личным данным, которые вы сохранили на нем.

Национальная база данных уязвимостей США дает следующее описание уязвимостей, перечисленных выше

2059

Функция msm_ipc_router_bind_control_port в net / ipc_router / ipc_router_core.c в модуле ядра маршрутизатора IPC для ядра Linux 3.x, используемая в вкладах Android Qualcomm Innovation Center (QuIC) для устройств MSM и других продуктов, не проверяет, является ли порт клиентский порт, который позволяет злоумышленникам получить привилегии или вызвать отказ в обслуживании (состояние гонки и повреждение списка), совершая много вызовов ioctl BIND_CONTROL_PORT.

2504

Драйвер графического процессора Qualcomm в Android до 2016-08-05 на устройствах Nexus 5, 5X, 6, 6P и 7 (2013) позволяет злоумышленникам получать привилегии через специально созданное приложение, внутреннюю ошибку Android 28026365 и внутреннюю ошибку Qualcomm CR1002974.

2503

Драйвер графического процессора Qualcomm в Android до 2016-07-05 на устройствах Nexus 5X и 6P позволяет злоумышленникам получить привилегии с помощью специально созданного приложения, внутренней ошибки Android 28084795 и внутренней ошибки Qualcomm CR1006067.

5340

Функция is_ashmem_file в drivers / staging / android / ashmem.c в определенном патче Android Qualcomm Innovation Center (QuIC) для ядра Linux 3.x неправильно обрабатывает проверку указателя в графическом модуле KGSL Linux, что позволяет злоумышленникам обходить предполагаемые ограничения доступа с помощью используя строку / ashmem в качестве имени dentry.

Вы можете загрузить приложение под названием « Сканер Quadrooter » из магазина Google Play - оно сообщит вам, уязвим ли ваш телефон. Приложение было написано Checkpoint Software Technologies Ltd . Я установил его, запустил и удалил. Кроме этого, я не могу сказать, насколько это надежно.

Qualcomm выпустила исправления программного обеспечения для производителей

Google упомянул пару из них в своих бюллетенях по безопасности за июль и август

Issue                                    CVE            Severity    Affects 
                                                                    Nexus?
Elevation of privilege vulnerability in  CVE-2016-2503,  Critical   Yes
Qualcomm GPU driver (Device specific)    CVE-2016-2067

...

Elevation of privilege vulnerability in  CVE-2016-2504,  Critical   Yes
Qualcomm GPU driver                      CVE-2016-3842

...

Elevation of privilege vulnerability in Qualcomm GPU driver

An elevation of privilege vulnerability in the Qualcomm GPU driver could 
enable a local malicious application to execute arbitrary code within the 
context of the kernel. This issue is rated as Critical due to the 
possibility of a local permanent device compromise, which may require 
reflashing the operating system to repair the device.

CVE References  Severity    Updated Nexus devices   Date reported
CVE-2016-2504    Critical   Nexus 5, Nexus 5X,      Apr 5, 2016
A-28026365                  Nexus 6, Nexus 6P, 
QC-CR#1002974               Nexus 7 (2013)

Я подозреваю, что у владельцев уязвимых телефонов есть несколько вариантов, включая некоторые или все

• подождите, пока производитель предоставит обновление по беспроводной сети, чтобы исправить это.
• не загружайте новые приложения
• предотвратить обновление приложений до устранения уязвимостей
• удалить все лишние приложения
• выключите телефон до тех пор, пока исправление не будет готово

Я думаю, что многие люди расценили бы по крайней мере последний пункт как излишнее.

Являются ли уязвимыми 900 миллионов устройств Android?

Мировые продажи смартфонов составляют порядка 1 миллиарда в год .

Qualcomm является крупным производителем интегральных микросхем, используемых в смартфонах. Они продают различные микросхемы, в том числе популярный ряд процессоров ARM на базе Snapdragon. Их годовой доход составляет порядка 25 миллиардов долларов США.

По данным Forbes

По данным ABI Research, ведущий производитель чипсетов Qualcomm в 2015 году оставался лидером на чипсетах LTE для основной полосы частот. В этом году компания занимала 65% рынка чипсетов для базовой полосы LTE.

В 2016 году может быть задействовано 2 миллиарда смартфонов . Конечно, многие из них будут устройствами IOS. Там все еще может быть один или два пользователя Windows Phone :-).

Средний срок службы смартфона может составлять два года или четыре года . Рынок подержанных смартфонов, безусловно, есть. Кажется правдоподобным, что многие смартфоны старше одного года все еще используются.

Конечно, есть устройства Android, которые не являются смартфонами. По оценкам Google, в мире насчитывается 1,4 миллиарда активных устройств Android . 65% из 1,4 млрд. Составляет 910 млн. Это может быть, как журналисты пришли к этой цифре. Если так, это совсем не точно.

Однако, если предположить, что уязвимые драйверы существуют в течение нескольких лет, представляется вероятным, что могут пострадать сотни миллионов устройств. 900 миллионов, похоже, являются крайним верхним пределом возможных оценок.

Связанный

• 2016-08-10 « Google говорит, что большинство пользователей« защищены »от« Quadrooter » - Play Store должен обнаруживать эксплойты»
• 2016-08-08 Уязвимость в QuadRooter: 5 фактов об этой угрозе безопасности для Android

Больше на Quadrooter

Трафик угон Linux изъян затрагивает 80% устройств Android - в том числе Нуга - экстракты

В то время как существует огромное количество смартфонов и планшетов в опасности, Lookout говорит, что недостаток трудно использовать, что несколько снижает риски:

• Уязвимость позволяет злоумышленнику удаленно шпионить за людьми, которые используют незашифрованный трафик или ухудшают зашифрованные соединения. В то время как человек в средней атаке здесь не требуется, злоумышленнику все еще нужно знать IP-адрес источника и назначения, чтобы успешно выполнить атаку.

  • Таким образом, мы можем оценить, что все версии Android, работающие под управлением Linux Kernel 3.6 (примерно Android 4.4 KitKat) до последней версии, уязвимы для этой атаки или 79,9% экосистемы Android.

  • Мы обнаружили, что патч для ядра Linux был создан 11 июля 2016 года. Однако, проверяя последнюю предварительную версию Android Nougat для разработчиков, не похоже, что ядро ​​исправлено против этого недостатка. Это наиболее вероятно, потому что патч не был доступен до последнего обновления Android.

(Акцент прилагается)

Чтобы исправить эту уязвимость, Android-устройствам необходимо обновить ядро ​​Linux. К счастью, есть несколько способов, которые пользователь может сделать до выхода патча:

• Зашифруйте ваши сообщения, чтобы не дать им шпионить. Это означает, что веб-сайты, которые вы просматриваете, и используемые вами приложения используют HTTPS с TLS. Вы также можете использовать VPN, если хотите добавить дополнительные меры предосторожности.

• Если у вас есть рутированное устройство Android, вы можете усилить эту атаку, используя инструмент sysctl и изменив значение net.ipv4.tcp_challenge_ack_limit на что-то очень большое, например, net.ipv4.tcp_challenge_ack_limit = 999999999

Мошенники выкладывают в Google Play поддельное приложение для безопасности Android - выдержки

Мошенники помещают в Google Play поддельное приложение-патч для Android, чтобы заразить смартфоны.

Фальшивое исправление, упакованное как приложение, было кратко доступно в Google Play и предназначено для исправления так называемых ошибок QuadRooter, которые были обнаружены охранной фирмой Check Point на прошлой неделе.

По данным охранной компании ESET, Google теперь вытащил два вредоносных приложения из Google Play. Оба были названы «Fix Patch QuadRooter» от издателя Kiwiapps Ltd.

Исследователи ESET заявили, что впервые поддельные патчи безопасности Android используются для привлечения потенциальных жертв