Popüler Android köklendirme çerçevelerinde keşfedilen kritik bir güvenlik açığı, kötü amaçlı uygulamaların köklü cihazları tamamen tehlikeye atmasına izin vererek saldırganlara kullanıcı bilgisi olmadan tam sistem kontrolü sağlayabilir.
İlk olarak Kernelsu sürüm 0.5.7’de tanımlanan güvenlik açığı, görünüşte sağlam kimlik doğrulama mekanizmalarının akıllı sömürü teknikleri ile nasıl atlatılabileceğini gösterir.
Kernelsu, Apatch, Skroot ve Magisk gibi köklendirme çerçeveleri, Android kullanıcıları arasında cihazlarında idari ayrıcalıklar arayan yaygın olarak benimsenmiştir.
Bu araçlar, Android çekirdeğini yamalayarak ve kritik sistem işlevlerine bağlanarak, çekirdek alanı ve kullanıcı uygulamaları arasında iletişim kanalları oluşturarak çalışır.
Bununla birlikte, bu derin sistem entegrasyonu, özellikle kimlik doğrulama mekanizmaları uygulamaların talep edilmesinin meşruiyetini yeterince doğrulayamadığında, önemli güvenlik riskleri ile birlikte gelir.
Güvenlik açığı, Kernelsu’nun yönetici uygulamalarını nasıl doğruladığı konusunda temel bir zayıflıktan yararlanır.
Bir uygulama, 0xdeadbeef sihirli değerini kullanarak PRCTL sistem çağrısı aracılığıyla yönetici ayrıcalıkları istediğinde, çerçeve üç doğrulama kontrolü gerçekleştirir: verilen veri dizin yolunun doğrulanması, dizin sahipliğini onaylamak ve APK’nın dijital imzasını doğrulamak.
İlk iki kontrol herhangi bir kötü amaçlı uygulama ile kolayca atlanırken, imza doğrulama işlemi kullanılabilecek kritik bir kusur içerir.
Zimperium araştırmacıları, Kernelsu’nun imza doğrulamasının, desenle eşleşen ilk dosya için işlemin dosya tanımlayıcı tablosunu taramaya dayandığını belirledi /data/app/*/base.apk.
Bu yaklaşım, keşfedilen APK’nın talep eden uygulamaya ait olduğunu varsayar, ancak saldırganlar, sistemi kendi kötü amaçlı APK’ları yerine meşru yöneticinin imzasını doğrulamak için kandırmak için dosya tanımlayıcısı siparişi değiştirebilir.
Gelişmiş dosya tanımlayıcı manipülasyon saldırısı
Sömürü tekniği, kötü niyetli uygulamaların meşru Kernelsu yöneticilerini taklit etmesine izin veren sofistike dosya tanımlayıcı manipülasyonuna odaklanmaktadır.
Saldırganlar bunu, resmi Kernelsu yöneticisi APK’yı kötü niyetli uygulamaları içinde bir araya getirerek ve çekirdeğe kimlik doğrulama istekleri yapmadan önce stratejik olarak açarak başarırlar.
Saldırı dizisi, kendi temelini tanımlayan kötü amaçlı uygulamanın. Hiçbiri yoksa, saldırgan boşluk oluşturmak için stdin (dosya tanımlayıcısı 0) kapatır.
Uygulama daha sonra, tipik olarak LIB dizinine yerleştirilen paketlenmiş meşru Kernelsu yöneticisi APK’yı açar. /data/app/. Bu yol, otantik imzayı içererken Kernelsu’nun filtreleme kriterlerini karşılar.
// Malicious authentication request
const char* data_path = "/data/data/com.attacker.manager";
int32_t result = -1;
prctl(KERNEL_SU_OPTION, CMD_BECOME_MANAGER, data_path, nullptr, &result);Kernelsu imza doğrulaması gerçekleştirdiğinde, meşru yöneticinin APK’sını ilk olarak dosya tanımlayıcı tablosunda keşfeder ve imzasını doğrular ve bilmeden yönetici ayrıcalıklarını kötü amaçlı uygulamaya verir.
Kimlik doğrulandığında, saldırgan güçlü komutlara erişim kazanır CMD_GRANT_ROOT– CMD_ALLOW_SUVe CMD_SET_SEPOLICYtam sistem uzlaşmasını etkili bir şekilde elde etmek.
Güvenlik açığının etkisi, köklü cihazların önemli güvenlik riskleri oluşturduğu kurumsal ortamlara bireysel cihazların ötesine uzanır.
Mobil cihaz yönetimi çözümlerini kullanan kuruluşlar, köklendirme araçlarını tanımlamak ve veri ihlallerine veya yetkisiz sistem erişimine yol açmadan önce bu kritik güvenlik açıklarının potansiyel kullanılmasını önlemek için kapsamlı algılama mekanizmaları uygulamalıdır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.