Jann Horn, Especialista em Projeto Zero do Google, estudou o kernel do Android, fornecido pela Samsung com seus telefones Galaxy A50, e afirmou que os mecanismos de segurança adicionados pelos engenheiros da Samsung ao kernel não só carecem de proteção total, mas também criar vetores adicionais para ataques. De acordo com Horne, Samsung altera o kernel do Android, o que só piora a segurança.
Horn observa que não verificou o kernel em outros dispositivos Samsung, mas acredita que modificações específicas deste fabricante podem geralmente criar vulnerabilidades e dificultar o combate a ataques.
"Pior, essa prática é comum entre fabricantes de smartphones: eles frequentemente adicionam algo controverso ao código do kernel Linux, e os desenvolvedores upstream não consideram e não podem controlar essas mudanças”, – estados Jann Horn.
Em particular, o núcleo da Samsung inclui uma função que protege os dados do usuário de serem lidos ou modificados por invasores. Mas Horn descobriu que esta função não só não dá conta de sua tarefa, mas também possui vulnerabilidades que podem ser usadas para executar código arbitrário.
O problema afetou o subsistema de segurança adicional da Samsung chamado PROCA ou Process Authenticator.
A exploração PoC do pesquisador demonstra que um invasor pode obter acesso a um banco de dados de contas contendo tokens de autenticação confidenciais.
A exploração deste problema também está ligada a uma vulnerabilidade antiga, um bug de divulgação no kernel Linux, que tem o identificador CVE-2018-17972. Este problema foi corrigido há muito tempo no kernel Linux e no kernel Android, mas, como acabou, não no kernel do Android, que a Samsung usa em seus telefones.
“Os mecanismos de defesa da Samsung não oferecem proteção completa contra invasores que tentam hackear seu telefone, eles bloqueiam apenas as ferramentas de root mais simples que não são personalizadas para dispositivos Samsung. Acredito que tais modificações não são dinheiro deles, já que eles dificultam a mudança para um novo kernel (o que deveria acontecer com mais frequência do que agora) e adicionar espaço adicional para ataque”, – escreve chifre.
Ele observa que o mecanismo PROCA foi projetado para restringir um invasor que, na verdade, já ganhou permissões de leitura e gravação no kernel. De acordo com Horn, A Samsung poderia criar uma defesa mais eficaz direcionando seus recursos para que o invasor não obtivesse tal acesso.
Os desenvolvedores da Samsung já corrigiram essas e outras vulnerabilidades (Incluindo CVE-2018-17972) como parte do Atualização de terça-feira de fevereiro.
Lembrar; que os usuários do Android também estão ameaçados por outro problema perigoso – O malware Xhelper continua a infectar dispositivos Android. Além disso, o Xhelper Trojan remains on the device even after deleting ou redefinir completamente o dispositivo para as configurações de fábrica.