Sırp hükümeti, aktivistleri, gazetecileri ve protestocuları gözetlemek için kullanılan ‘NoviSpy’ adlı yeni bir casus yazılımı Android cihazların kilidini açmak ve bu yazılımlara bulaştırmak için Qualcomm sıfır günlerini kullandı.
Saldırılarla bağlantılı Qualcomm kusurlarından biri, Ekim 2024’te Google Project Zero tarafından aktif olarak yararlanılan sıfır gün güvenlik açığı olarak işaretlenen ve Kasım ayında Android’de bir düzeltme alan CVE-2024-43047’dir.
İletişimlerine dayanarak Sırp yetkililer tarafından konuşlandırıldığı anlaşılan casus yazılım, Uluslararası Af Örgütü Güvenlik Laboratuvarı tarafından polisin geri göndermesinin ardından bir gazetecinin telefonunda keşfedildi.
Uluslararası Af Örgütü’nün bir raporunda şöyle yazıyor: “Şubat 2024’te, Sırbistan’ın Dimitrovgrad şehrinden yerel ilgi çekici haberleri aktaran bağımsız gazeteci Slaviša Milanov, görünürde rutin bir trafik durağının ardından polis karakoluna getirildi.”
“Slaviša serbest bırakıldıktan sonra, polis memurlarının isteği üzerine karakolun resepsiyonuna bıraktığı telefonunun tuhaf davrandığını, veri ve wi-fi ayarlarının kapatıldığını fark etti. Bunun bir işaret olabileceğinin bilincinde Hacking konusunda ve Sırbistan’daki gazetecilerin karşı karşıya olduğu gözetleme tehditlerinin farkında olan Slaviša, telefonunun analizini talep etmek için Uluslararası Af Örgütü Güvenlik Laboratuvarı ile temasa geçti.”
Daha sonra araştırmacılar, Google’ın Tehdit Analiz Grubu’na (TAG) istismar eserleri sağladı ve bu, multimedya işlemlerini DSP çekirdeğine aktarmak için kullanılan Qualcomm’un DSP (Dijital Sinyal İşlemcisi) sürücüsündeki (‘adsprpc’) kusurların ortaya çıkarılmasına yol açtı.
Google, NoviSpy’ın hangi güvenlik açıklarından yararlandığından emin olmasa da kanıtlar, casus yazılımın Android güvenlik mekanizmalarını atlamak ve kendisini sürekli olarak çekirdek düzeyinde yüklemek için bir yararlanma zinciri kullandığını gösteriyor.
NoviSpy Sırbistan’da konuşlandırıldı
Uluslararası Af Örgütü, NoviSpy’ın Sırbistan Güvenlik Bilgi Ajansı (BIA) ve Sırp polisi tarafından, cihazların fiziksel gözetimi sırasında Cellebrite kilit açma araçları kullanılarak bir telefonun kilidinin açılmasının ardından konuşlandırıldığını bildirdi.
Kurcalanmış cihazlara ilişkin adli kanıtlara göre araştırmacılar, Cellebrite’ın Android telefonların kilidini açmak için Qualcomm’un sıfır gün özelliğini kullandığına inanıyor.
“Güvenlik Laboratuvarı bu rapor için araştırma yaparken aynı zamanda cihazdaki ayrıcalıkları yükseltmek için kullanılan sıfır gün Android ayrıcalık yükseltme güvenlik açığının tanımlanmasına yol açan adli kanıtları da ortaya çıkardı
Sırbistan’dan bir aktivist”, Uluslararası Af Örgütü’nün raporunda yazıyor.
“Androidmaker Google’daki güvenlik araştırmacılarıyla işbirliği içinde belirlenen güvenlik açığı, dünya çapında milyonlarca Android cihazını etkileyen, popüler Qualcomm yonga setlerini kullanan çok sayıda Android cihazını etkiledi.”
Casus yazılımlar, doğrudan BIA’ya bağlı IP aralıklarındaki sunucularla iletişim kurarken, örneklerdeki yapılandırma verileri, ülkenin önceki casus yazılım tedarik programlarıyla bağlantılı belirli bir kişiyi tanımladı.
Hedefler arasında gazeteciler, insan hakları aktivistleri ve hükümet muhalifleri yer alıyor. Uluslararası Af Örgütü raporunda bahsedilen spesifik örnekler arasında Krokodil STK üyesi gazeteci Slaviša Milanov ve üç aktivist yer alıyor.
Ancak Uluslararası Af Örgütü, teknik kanıtların NoviSpy’ın son birkaç yılda Sırbistan’da yüzlerce olmasa da düzinelerce Android cihaza yüklendiğini gösterdiğini söylüyor.
İlk ihlalle ilgili olarak Uluslararası Af Örgütü, kurtarılan eserlerin Wi-Fi Üzerinden Ses veya LTE Üzerinden Ses (VoLTE) işlevi gibi Android arama özelliklerini kullanan bir sıfır tıklama saldırısına işaret ettiğini söylüyor.
Bunlar, Rich Communication Suite (RCS) çağrısının bir parçası olarak kullanılan, incelenen ele geçirilmiş cihazlarda etkindi.
Uluslararası Af Örgütü, bazı aktivistlerin, aşağıda gösterildiği gibi birçok haneli geçersiz telefon numaralarından telefon çağrıları alınarak yararlanılabilecek sıfır tıklama Android güvenlik açığı kullanılarak hedef alınmış olabileceğinden şüpheleniyor.
Kaynak: Uluslararası Af Örgütü
Google Qualcomm’un kusurlarını buluyor
Google’ın TAG’ı, Uluslararası Af Örgütü tarafından yakalanan açıklardan yararlanılarak oluşturulan çekirdek panik günlüklerini aldı ve milyonlarca Android cihazda kullanılan Qualcomm’un adsprpc sürücüsündeki altı güvenlik açığını belirlemek için geriye doğru çalıştı.
Altı kusur şu şekilde özetlenmiştir:
- CVE-2024-38402: Sürücüdeki bir referans sayma sorunu, serbest kullanım sonrası (UAF) istismarına ve çekirdek alanında rastgele kod yürütülmesine yol açabilir.
- CVE-2024-21455: Kusurlu bir ‘is_compat’ bayrağı işlemesi, kullanıcı tarafından kontrol edilen işaretçilerin çekirdek işaretçileri olarak değerlendirilmesine, keyfi okuma/yazma temel öğeleri oluşturulmasına ve ayrıcalık artışına yol açmasına olanak tanır.
- CVE-2024-33060: ‘fastrpc_mmap_create’ dosyasındaki bir yarış durumu, sürücüyü özellikle küresel bellek haritalarını işlerken UAF güvenlik açıklarına maruz bırakır ve çekirdek belleğinin bozulmasına yol açar.
- CVE-2024-49848: Kalıcı eşlemelerin işlenmesindeki bir mantık hatası, eşlemelere yapılan referanslar uygun şekilde yayınlanmadığında bir UAF senaryosuna neden olur ve bir kalıcılık mekanizması sağlar.
- CVE-2024-43047: ‘fastrpc_mmap’ dosyasında çakışan bellek eşlemeleri, nesne referanslarının bozulmasına ve potansiyel olarak belleğin bozulmasına neden olabilir.
- CVE yok: Fastrpc_mmap_find’deki hatalı doğrulama, çekirdek adres alanı bilgilerini sızdırarak çekirdek adres alanı düzeni rastgeleleştirmesinin (KASLR) atlanmasına olanak tanır.
Google araştırmacıları, CVE-2024-43047’nin kötüye kullanıldığını doğruladı ve geri kalanın karmaşık bir saldırı zincirinde kötüye kullanıldığını varsayıyor.
Bu yazının yazıldığı sırada Qualcomm, Google’ın sorunu kendilerine 145 gün önce bildirmesine rağmen CVE-2024-49848 için bir yama yayınlamadı.
Google ayrıca Qualcomm’un CVE-2024-49848 ve CVE-2024-21455 yamalarını endüstri standardı olan 90 günlük süre boyunca geciktirdiğini de belirtti.
BleepingComputer, bu altı kusurun durumunu sormak için Qualcomm ile temasa geçti ve bir sözcü aşağıdaki açıklamayı yaptı:
Qualcomm, BleepingComputer’a “Güçlü güvenlik ve gizliliği desteklemeye çalışan teknolojiler geliştirmek Qualcomm Technologies için bir önceliktir” dedi.
“Google Project Zero ve Uluslararası Af Örgütü Güvenlik Laboratuvarı araştırmacılarını koordineli ifşa uygulamalarını kullandıkları için takdir ediyoruz. FastRPC sürücüsü araştırmalarıyla ilgili olarak düzeltmeler Eylül 2024 itibarıyla müşterilerimize sunuldu. Son kullanıcıların güvenlik güncellemelerini geldikçe uygulamalarını teşvik ediyoruz. cihaz üreticilerinden temin edilebilir.”
Qualcomm, CVE-2024-49848 ile ilgili olarak BleepingComputer’a bir düzeltmenin geliştirildiğini ve açıklama sürecinden geçtiğini, ilgili güvenlik bülteninin Ocak 2025’te yayınlanacağını söyledi.
CVE tanımlayıcısı olmayan güvenlik açığıyla ilgili olarak Qualcomm, sorunun Eylül 2024’teki CVE-2024-33060 düzeltmesiyle birlikte paketlendiğini ve dolayısıyla düzeltildiğini söylüyor.
Güncelleme 12/16/24: Yaklaşan düzeltmeler hakkında Qualcomm’dan yeni bilgiler eklendi.