CVE-2024-31317 olarak tanımlanan Android işletim sisteminde önemli bir güvenlik açığı keşfedildi ve saldırganların sistem çapında kod yürütme ve ayrıcalık artışı için zigot sürecinden yararlanmasına izin verdi.
Bu kusur, Android 11 veya üstü çalışan cihazları etkiler ve Android ekosisteminde kritik bir güvenlik riskini vurgular.
Arka plan ve güvenlik açığı detayları
Zygote süreci, Android’in yeni uygulama ve sistem düzeyinde süreçleri ortaya çıkarmaktan sorumlu bir bileşenidir.
Sistem ayrıcalıklarıyla çalışır, bu da onu yüksek erişim isteyen saldırganlar için birincil hedef haline getirir.
Güvenlik açığı, sistem sunucusunun nasıl işlediğinden kaynaklanır. hidden_api_blacklist_exemptions belirli uygulamaların Android’in gizli API kısıtlamalarını atlamasına izin veren ayar.
Özellikle, sistem sunucusu bu ortamda zygote geçerken yeni çizgilerden kaçmaz ve saldırganların zigot sürecine keyfi komutlar enjekte etmesini sağlar.
ADB kabuğu üzerinden sömürü
Saldırganlar, gerekli olana sahip olan Android Hata Ayıklama Köprüsü (ADB) kabuğunu kullanarak bu güvenlik açığını kullanabilir. WRITE_SECURE_SETTINGS Değiştirme izni hidden_api_blacklist_exemptions ayar.
Bu ayara kötü niyetli komutlar enjekte ederek, saldırganlar sistem çapında ayrıcalıklarla keyfi kod yürütebilirler.
Kavram kanıtı istismarı, yüksek izinlerle yeni bir işlem ortaya çıkaran bir yük enjekte ederek, kabuk kullanıcısından sistem kullanıcısına ayrıcalıkların nasıl artırılacağını gösterir.
Araştırmacılara göre, bu işlem, saldırganların cihaz üzerinde kontrolü sürdürmesine izin veren kalıcı bir kabuk başlatma gibi komutları yürütecek şekilde yapılandırılabilir.
Bu güvenlik açığının istismarı, istismar düzgün bir şekilde temizlenmezse, potansiyel cihaz bootloops da dahil olmak üzere ciddi sonuçlara yol açabilir.
Bu riskleri azaltmak için, kullanıcılar değiştirilmiş olanı silerek normal zigot davranışını geri yükleyebilir hidden_api_blacklist_exemptions ADB kabuğu üzerinden ayarlayın ve ardından cihazı yeniden başlatın.
Bununla birlikte, bu eylem aynı zamanda enjekte edilen yükleri de kaldıracak ve saldırganların yükseltilmiş erişimi yeniden kazanmak için sömürü sürecini tekrarlamasını gerektirecektir.
Bu güvenlik açığının keşfi, Android’in temel süreçlerini güvence altına almanın öneminin altını çiziyor ve bu tür istismarlara karşı korunmak için hızlı yamaların ihtiyacını vurgulamaktadır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.