Security Week 33: уязвимость в мобильных SoC Qualcomm
На прошлой неделе прошли две конференции по безопасности — Black Hat и DEF CON. Оба мероприятия из-за коронавирусных ограничений в этом году сделали виртуальными, а материалы DEF CON— полностью открытыми. Записи презентаций выкладывали на Youtube, сессии вопросов и ответов проводили в реальном времени на Twitch и в чате конференции на Discord. Мероприятие назвали DEF CON Safe Mode.
Одной из самых если не интересных, то масштабных презентаций стало исследование уязвимостей в мобильных чипах Qualcomm, используемых в большом числе Android-устройств (до 40% рынка). Шесть исправленных уязвимостей вызывали отказ в обслуживании, выполнение произвольного кода, обеспечивали прямой доступ к камере, микрофону, датчикам GPS и так далее. В феврале — марте данные об этих дырах передали производителю, который пропатчил их в июле, но когда заплатки доберутся до реальных устройств, пока непонятно. Из-за этого в анонсе исследования на сайте технических деталей нет, но они есть в презентации на DEF CON.
Hexagon — это, по сути, отдельный процессор в составе SoC Qualcomm, отвечающий за коммуникацию с периферией, от камеры до схемы зарядки устройства. Для работы с ним производитель распространяет SDK, но по факту работать с DSP-частью может только код, подписанный Qualcomm. Используя фаззинг, исследователи нашли массу мелких багов во всех библиотеках для работы с DSP, всего более 400. Они вызывают сбой в выполнении кода с разными последствиями, и в некоторых случаях приводят к либо к перезагрузке или зависанию телефона, либо к выполнению кода, или же открывают бесконтрольный доступ к периферийным устройствам. Эксплуатация уязвимостей предполагает запуск на устройстве вредоносного приложения, которое обращается с DSP, вызывает сбой и получает расширенные права.
Без подробностей оценить реальный масштаб проблемы пока невозможно. Известно лишь, что разработчики компании Qualcomm закрыла уязвимости, но патчи еще нужно доставить на устройства. Анализ свежего набора обновлений безопасности для Android показал, что в него исправления не попали. Кроме того, в Check Point предполагают, что вендорам также придется перекомпилировать собственный код для работы с Hexagon, чтобы полностью избавиться от уязвимостей. Неподдерживаемые устройства, не получающие обновления безопасности, скорее всего, так и останутся уязвимыми.
Другие интересные презентации с DEF CON и Black Hat:
— Обсуждение гипотетической атаки на IoT-устройства с высоким энергопотреблением, такие как стиральные машины и нагреватели. Авторы предлагают интересные сценарии взлома. Например, одновременно включив тысячи нагревателей, можно влиять на стоимость электроэнергии. А она, в свою очередь, косвенно влияет на курс обмена криптовалют, который зависит от майнинга (новость).
— В мультимедийной системе автомобилей Mercedes E-класса нашли и закрыли 19 уязвимостей, одна из них позволяет удаленно открывать двери и запускать двигатель. Анализ прошивки устройства также показал возможность атаки на управляющие серверы производителя (новость).
— Исследование Джеймса Павура о результатах «спутниковой рыбалки» — метода перехвата спутниковых данных. Казалось бы, с распространением зашифрованной передачи данных такой сценарий должен был уйти в прошлое, но нет. Дело не только в устаревших системах, работающих по HTTP. Автору удалось перехватить коммуникации самолета китайской авиакомпании, логин в админку ветряка во Франции, переговоры о ремонте генератора на топливном танкере в Египте (см. также статью в ArsTechnica).
Что еще произошло:
Intel расследует утечку 20 гигабайт данных, включая исходные коды (статья ArsTechnica, обсуждение на Хабре). Скорее всего, утекла информация, которой вендор делится с партнерами под NDA.
Интересная статья на основе пользовательских наблюдений за умной колонкой Google Home. У владельца устройства сработала пожарная сигнализация, и он получил на телефон уведомление об этом. Это в целом хорошо, но предполагает, что запись звука на умном устройстве ведется всегда, а не только когда произносится кодовое слово. В Google случившееся назвали ошибкой — тестируемая фича случайно попала в продакшн.
Компания Canon стала жертвой атаки вымогателей.
A well-known Russian-speaking Threat Actor shared details of over 1800 IPs vulnerable to the latest Pulse CVEs.
For each IP the actor shared many details including user & administrator clear-text credentials.
Big Banks and notable organizations are on the list.
— Bank Security (@Bank_Security) August 4, 2020
PATCH NOW! pic.twitter.com/QqyPBG17Mq
В сеть утекли данные о 900 VPN-серверах, использующих ПО Pulse Secure. Это следствие серьезной уязвимости, обнаруженной в прошлом году. Из-за возможности произвольного удаленного чтения данных с уязвимого сервера в базе содержатся не только домены и IP-адреса, но и SSH-ключи и другая информация.