Co to jest QuadRooter? Czy 900 milionów urządzeń z Androidem jest zagrożonych?

51

Czym właściwie jest QuadRooter i jak działa na urządzeniach z Androidem?

Obecnie wiadomo, że 900 milionów urządzeń z Androidem jest zagrożonych:

Poważne wady bezpieczeństwa, które mogą zapewnić atakującym pełny dostęp do danych telefonu, zostały wykryte w oprogramowaniu używanym na dziesiątkach milionów urządzeń z Androidem.

Błędy zostały odkryte przez badaczy Checkpoint, którzy przyglądali się oprogramowaniu działającemu na chipsetach amerykańskiej firmy Qualcomm.

Firma twierdzi, że procesory Qualcomm znajdują się w około 900 milionach telefonów z Androidem.

W artykule stwierdzono również, że jest to coś na poziomie chipsetu.

Czy to prawda?

A jak to działa wewnętrznie?

security stock-android uczę się
źródło
2
Nie mogę odpowiedzieć na pytanie, ale uważnie przeczytałem artykuł, aby zobaczyć nieuczciwą grę liczbową. „oprogramowanie wykorzystywane na dziesiątki milionów… (niepowiązanych) 900 milionów” Prasa lubi duże liczby. Im większy tym lepszy. Odpowiedź na twoje pytanie brzmi prawdopodobnie „Nie, dotyczy to tylko tych dziesiątek milionów”. ale nie wiem tego na pewno, więc nie napiszę odpowiedzi.
Stig Hemmer,
1
Na każdym telefonie z Androidem 4.2 (JellyBean) lub nowszym będzie zainstalowana aplikacja Google Verify. Ta funkcja jest domyślnie włączona i wykryje te luki w każdej zainstalowanej aplikacji, o ile Usługi Google Play są zainstalowane w telefonie. Tak więc nie dotyczy to prawie 900 milionów urządzeń, ponieważ wersja 4.2 lub nowsza znajduje się na około 80% wszystkich urządzeń z Androidem. Dotyczy to tylko starszych wersji Androida lub tanich telefonów z Androidem, które nie licencjonują usług Google Play.
ehambright,
1
@ehambright Jednak większość, jeśli nie wszystkie telefony sprzedawane w Chinach, czy są tanie, czy nie, wyprodukowane w Chinach lub nie, mają wersję 4.2+ lub nie, nie są obciążone GAPPS / PlayServices. Stanowią one znaczną część sprzedaży Androida (choć niekoniecznie 900 mln). Dodajmy do tego, że my, Chińczycy, korzystamy wyłącznie z rynków alternatywnych i mamy problem przynajmniej dla siebie.
Andy Yan,

Odpowiedzi:

59

Co to jest QuadRooter?

Quadrooter to nazwa zestawu luk bezpieczeństwa, w tym

Są to słabości oprogramowania systemowego Linux / Android dostarczonego przez producenta chipsetu Qualcomm.

Mogą być wykorzystywane przez pobraną aplikację, nawet taką, która nie wymaga żadnych specjalnych uprawnień. Taka aplikacja może wykorzystać te luki, aby uzyskać wyższy poziom kontroli nad telefonem, w tym dostęp do wszelkich prywatnych danych na nim przechowywanych.

Baza danych krajowych luk w zabezpieczeniach w USA zawiera następujący opis luk wymienionych powyżej

2059

Funkcja msm_ipc_router_bind_control_port w net / ipc_router / ipc_router_core.c w module jądra routera IPC dla jądra Linuksa 3.x, używana w wkładach systemu Qualcomm Innovation Center (QuIC) dla urządzeń MSM i innych produktów, nie sprawdza, czy port jest port klienta, który umożliwia atakującym uzyskanie uprawnień lub spowodowanie odmowy usługi (warunek wyścigu i uszkodzenie listy) poprzez wykonywanie wielu wywołań ioctl BIND_CONTROL_PORT.

2504

Sterownik GPU Qualcomm w systemie Android przed 2016-08-05 na urządzeniach Nexus 5, 5X, 6, 6P i 7 (2013) pozwala atakującym na uzyskanie uprawnień za pośrednictwem spreparowanej aplikacji, czyli wewnętrznego błędu Androida 28026365 i wewnętrznego błędu CR1002974 Qualcomm.

2503

Sterownik Qualcomm GPU w Androidzie przed 2016-07-05 na urządzeniach Nexus 5X i 6P umożliwia atakującym uzyskanie uprawnień za pośrednictwem spreparowanej aplikacji, czyli wewnętrznego błędu Androida 28084795 i wewnętrznego błędu Qualcomm CR1006067.

5340

Funkcja is_ashmem_file w drivers / staging / android / ashmem.c w pewnej łatce Qualcomm Innovation Center (QuIC) dla systemu Android dla jądra Linux 3.x źle sprawdza poprawność wskaźnika w module graficznym Linux KGSL, który pozwala atakującym ominąć planowane ograniczenia dostępu przez użycie ciągu / ashmem jako nazwy dentry.

Możesz pobrać aplikację o nazwie „ Quadrooter Scanner ” ze sklepu Google Play - poinformuje Cię, czy Twój telefon jest zagrożony. Aplikacja została napisana przez Check Point Sp . Zainstalowałem go, uruchomiłem i odinstalowałem. Poza tym nie mogę powiedzieć, czy jest w jakikolwiek sposób wiarygodny.

Qualcomm wydał poprawki oprogramowania dla producentów

Firma Google zajęła się kilkoma z nich w swoich biuletynach bezpieczeństwa na lipiec i sierpień

Issue                                    CVE            Severity    Affects 
                                                                    Nexus?
Elevation of privilege vulnerability in  CVE-2016-2503,  Critical   Yes
Qualcomm GPU driver (Device specific)    CVE-2016-2067

...

Elevation of privilege vulnerability in  CVE-2016-2504,  Critical   Yes
Qualcomm GPU driver                      CVE-2016-3842

...

Elevation of privilege vulnerability in Qualcomm GPU driver

An elevation of privilege vulnerability in the Qualcomm GPU driver could 
enable a local malicious application to execute arbitrary code within the 
context of the kernel. This issue is rated as Critical due to the 
possibility of a local permanent device compromise, which may require 
reflashing the operating system to repair the device.

CVE References  Severity    Updated Nexus devices   Date reported
CVE-2016-2504    Critical   Nexus 5, Nexus 5X,      Apr 5, 2016
A-28026365                  Nexus 6, Nexus 6P, 
QC-CR#1002974               Nexus 7 (2013)

Podejrzewam, że właściciele wrażliwych telefonów mają wiele opcji, w tym niektóre lub wszystkie

  • poczekaj, aż producent dostarczy aktualizację bezprzewodową, aby to naprawić.
  • nie pobieraj żadnych nowych aplikacji
  • zapobiegać aktualizacji aplikacji do momentu usunięcia luk
  • odinstaluj wszystkie zbędne aplikacje
  • wyłącz telefon, aż poprawka będzie gotowa

Myślę, że wiele osób uznałoby przynajmniej ostatni przedmiot za przesadę.

Czy 900 milionów urządzeń z Androidem jest zagrożonych?

Światowa sprzedaż smartfonów jest rzędu 1 miliarda rocznie .

Qualcomm to główny producent układów scalonych stosowanych w smartfonach. Sprzedają różnorodne układy scalone, w tym popularną gamę procesorów opartych na ARM „Snapdragon”. Ich roczne przychody są rzędu 25 miliardów USD.

Według Forbesa

Według ABI Research, wiodący producent chipsetów Qualcomm pozostał liderem w zakresie chipsetów pasma podstawowego LTE w 2015 roku. Firma posiadała ogromną 65% rynku chipsetów pasma podstawowego LTE w roku.

W 2016 r . Może być używanych 2 miliardy smartfonów . Oczywiście wiele z nich będzie urządzeniami IOS. Nadal może być jeden lub dwóch użytkowników Windows Phone :-).

Średni czas życia smartfona może wynosić dwa lata lub cztery lata . Z pewnością istnieje rynek używanych smartfonów. Wydaje się prawdopodobne, że wiele smartfonów starszych niż rok jest nadal używanych.

Oczywiście istnieją urządzenia z Androidem, które nie są smartfonami. Google szacuje, że na świecie jest 1,4 miliarda aktywnych urządzeń z Androidem . 65% z 1,4 miliarda to 910 milionów. W ten sposób dziennikarze doszli do tej liczby. Jeśli tak, to wcale nie jest dokładne.

Zakładając jednak, że podatne na zagrożenia sterowniki istnieją od kilku lat, wydaje się prawdopodobne, że może to mieć wpływ na setki milionów urządzeń. 900 milionów wydaje się być skrajnym górnym zakresem możliwych szacunków.

Związane z

RedGrittyBrick
źródło
Czy więc niestandardowe jądro może, ale nie musi wystarczyć, aby załatać tę lukę?
Sprzedawca maski śmierci
7
Zastanawiam się, czy można zaufać narzędziu skanującemu, że nie zrobi nic więcej dzięki znalezionym informacjom ...
John Dvorak
@JanDvorak: Przynajmniej daje możliwość udostępnienia wyników skanowania lub nie
beeshyams
10
@beeshyams Jest to idealna wymówka, aby umożliwić użytkownikowi dostęp do sieci, abyś mógł odesłać te dane osobowe, do których właśnie uzyskałeś dostęp.
Dmitrij Grigoryev,
3
jak zawsze wydaje się, że odpowiedź brzmi - załóż, że Twój telefon jest już zhakowany i nie przechowuj na nim żadnych wrażliwych danych, ani nie zezwalaj mu na dostęp do wrażliwych danych. Te wady (i brak aktualizacji zabezpieczeń) zamieniają smartfony w zabawki, choć i tak wydaje się, że to wszystko, do czego są używane :-)
gbjbaanb
2

Więcej na temat Quadrooter

Przejęcie ruchu przez lukę w Linuksie dotyczy 80% ekstraktów z urządzeń z Androidem - w tym Nougat

Chociaż istnieje duża liczba zagrożonych smartfonów i tabletów, Lookout twierdzi, że wada jest trudna do wykorzystania, co nieco zmniejsza ryzyko:

  • Luka umożliwia atakującemu zdalne szpiegowanie osób korzystających z niezaszyfrowanego ruchu lub degradujących szyfrowane połączenia. Chociaż atak w środku nie jest wymagany, atakujący musi znać źródłowy i docelowy adres IP, aby wykonać atak.

    • Możemy zatem oszacować, że wszystkie wersje Androida z systemem Linux Kernel 3.6 (w przybliżeniu Android 4.4 KitKat) do najnowszej wersji są podatne na ten atak lub 79,9 procent ekosystemu Androida.

    • Odkryliśmy, że łatka na jądro Linuksa została napisana 11 lipca 2016 r. Jednak sprawdzając najnowszą wersję zapoznawczą Androida Nougat, nie wygląda na to, aby jądro było załatane w ten sposób. Jest to najbardziej prawdopodobne, ponieważ łatka nie była dostępna przed najnowszą aktualizacją Androida.

(Podkreślenie dostarczone)

Aby naprawić tę lukę, urządzenia z Androidem muszą zaktualizować jądro Linuksa. Na szczęście istnieje kilka środków zaradczych, które użytkownik może zastosować do czasu wydania łatki:

  • Zaszyfruj swoją komunikację, aby zapobiec ich szpiegowaniu. Oznacza to, że witryny, które przeglądasz, i używane aplikacje korzystają z HTTPS z TLS. Możesz także użyć VPN, jeśli chcesz dodać dodatkowy krok ostrożności.

  • Jeśli masz zrootowane urządzenie z Androidem, możesz utrudnić ten atak, używając narzędzia sysctl i zmieniając wartość parametru net.ipv4.tcp_challenge_ack_limit na coś bardzo dużego, np. Net.ipv4.tcp_challenge_ack_limit = 999999999

Oszuści umieszczają fałszywą aplikację zabezpieczającą Androida w Google Play - wyciągi

Oszuści umieszczają fałszywą aplikację zabezpieczającą Androida w Google Play, aby zainfekować smartfony.

Fałszywa łatka, spakowana jako aplikacja, była krótko dostępna w Google Play i miała na celu naprawienie tak zwanych błędów QuadRooter, które zostały ujawnione przez firmę bezpieczeństwa Check Point w zeszłym tygodniu.

Według firmy ochroniarskiej ESET, Google wycofał teraz dwie szkodliwe aplikacje z Google Play. Oba zostały nazwane „Fix Patch QuadRooter” od wydawcy Kiwiapps Ltd.

Naukowcy z ESET powiedzieli, że po raz pierwszy zastosowano fałszywe łatki zabezpieczające Androida, aby zwabić potencjalne ofiary

beeshyams
źródło
Na jakie inne zasoby Androida (jeśli istnieją) ma wpływ podniesienie net.ipv4.tcp_challenge_ack_limit do czegoś bardzo dużego ? Czy to zahamuje lub zmniejszy cokolwiek netto? (Nie wiem, dlatego o to pytam)
HasH_BrowN
@HasH_BrowN przepraszam, nie mam pojęcia
beeshyams