Hiçbir Şey Telefonu (2a) ve CMF Telefon 1’in güvenli önyükleme işlemindeki kritik bir kusur için kavram kanıtlama istismarı yayınlandı.
Bu istismar güven zincirini kırabilir ve en yüksek ayrıcalık seviyesinde tam kod yürütülmesine izin vererek cihaz güvenliği açısından ciddi bir risk oluşturabilir.
Güvenlik Açığı Genel Bakış
MediaTek güvenli önyükleme zincirindeki bir mantık hatası, Nothing Phone’u (2a) ve muhtemelen diğer MediaTek aygıtlarını etkiler.
Aygıtın önyükleyicisinin kilidi açıldığında, Önyükleyici bl2_ext bölümünün doğrulamasını atlar.
Bu bölümün sonraki tüm önyükleme aşamalarını doğrulaması gerekiyor, ancak kusur nedeniyle hiçbir zaman kontrol edilmiyor.
Saldırgan, bu açıktan yararlanarak sistemdeki en yüksek ayrıcalık düzeyi olan EL3’te rastgele kod çalıştırabilir ve Önyükleyici çalıştırıldıktan sonra güvenli önyükleme zincirini devre dışı bırakabilir.
Teknik Detaylar ve PoC Kodu
Fenrir adlı yayınlanmış kavram kanıtı, her zaman sıfır döndürecek şekilde bl2_ext içindeki sec_get_vfy_policy() işlevini yamalar.
Bu, kimlik doğrulama ilkesini atlar ve herhangi bir önyükleme görüntüsünün kontrol edilmeden yüklenmesine olanak tanır. Bu istismar aynı zamanda cihazın kilit durumunu kilitli görünecek şekilde taklit ederek bütünlük kontrollerinin kilit açıkken geçmesine izin veriyor.
PoC, yamalama ve flaşlama sürecini otomatikleştirmek için Python, C ve kabuk komut dosyalarını içerir.
- Yapım Süreci:
- Orijinal önyükleyici görüntüsünü bin/’e yerleştirin[device].bin
- ./build.sh pacman’ı çalıştırın (veya özel bir yol sağlayın)
- Bu, lk.patched adında yamalı bir dosya oluşturur
- Yanıp sönüyor:
- Yamalı görüntüyü fastboot yoluyla cihaza yüklemek için ./flash.sh kullanın
- Fastboot kullanılamıyorsa alternatif flaşlama yöntemleri gerekli olabilir
PoC ayrıca özel fastboot komutlarını da kaydeder ve yerleşik önyükleyici işlevlerini dinamik olarak çağırabilir.
Ancak çalışma zamanındaki bellek değişikliği şu anda MMU hatalarını tetikliyor ve devam eden bir çalışma olarak kalıyor.
Etki ve Azaltma
Bu güvenlik açığı, etkilenen cihazlardaki tüm güven zincirini zayıflatır. Saldırganlar bu güvenlik açığından yararlanıldıktan sonra yetkisiz işletim sistemleri kurabilir veya aygıt yazılımını fark edilmeden değiştirebilir.
Kusur, Nothing Phone (2a) ve CMF Phone 1’de doğrulandı ve ön testler, Vivo X80 Pro gibi diğer MediaTek tabanlı telefonların da risk altında olabileceğini gösteriyor.
Kullanıcılar, resmi bir yama yayınlanana kadar önyükleyicilerinin kilidini açmaktan kaçınmalıdır. Cihaz üreticileri ve yonga seti satıcıları, kilit açıkken bile bl2_ext üzerinde kontrolleri zorunlu kılmak için güvenli önyükleme doğrulamasını güncellemelidir.
Güvenlik ekipleri, yetkisiz flashing etkinliklerini izlemeli ve son kullanıcılara, resmi güncellemeler uygulandıktan sonra önyükleyicilerini yeniden kilitlemelerini tavsiye etmelidir.
Ayrıntılı açıklamalar, komut dosyaları ve kullanım talimatlarını içeren tam PoC deposu GitHub’daki AGPL-3.0 lisansı altında mevcuttur.
Güvenlik araştırmacıları ve cihaz satıcılarının, kodu incelemeleri ve güvenli bir önyükleme zincirini geri yüklemek için uygun doğrulama önlemlerini entegre etmeleri önerilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.