Android önyükleme zinciri, “önyükleyiciyi” başlatan “Önyükleme ROM’u” ile başlar. Önyükleyici daha sonra sistem kaynaklarını yönetmekten ve başlatma sürecini başlatmaktan sorumlu olan çekirdeği yükler.
Son zamanlarda QuarksLab’daki siber güvenlik araştırmacıları, çeşitli Samsung cihazlarının önyükleme zincirini etkileyen çok sayıda güvenlik açığı tespit etti.
Güvenlik araştırmacıları, Samsung Galaxy cihazlarında (özellikle “A225F” modeli) kritik güvenlik kusurlarını ortaya çıkardılar ve cihazın önyükleme zinciri sisteminde birden fazla güvenlik açığı tespit ettiler.
Samsung Cihazların Önyükleme Zinciri
Birincil güvenlik açıkları, iki önemli bileşeni etkileyen “CVE-2024-20832” ve “CVE-2024-20865” olarak izlenir: –
- Küçük Çekirdek (Android’in başlatılmasından sorumlu üçüncü önyükleyici).
- Secure Monitor (en yüksek ayrıcalıklı yazılım).
İlk güvenlik açığı, Little Kernel’in özel JPEG ayrıştırıcısında, görüntüleri sabit boyutlu yığın yapılarına yüklerken boyut doğrulaması olmayan bir yığın taşmasından yararlanıyor.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)
İkinci güvenlik açığı ise “GUID Bölümleme Tablosu (GPT)” ve “Bölüm Bilgi Tablosu (PIT)”nu değiştirerek Odin’in kimlik doğrulama sistemini (Samsung’un kurtarma aracı) atlıyor.
Bu güvenlik açıkları “birbirine zincirlendiğinde”, tehdit aktörleri “USB erişimi” aracılığıyla kötü amaçlı kod çalıştırarak aşağıdakileri gerçekleştirebilir: –
- Kalıcı kök düzeyinde Android erişimi elde edin (yeniden başlatmalardan ve fabrika ayarlarına sıfırlamalardan sağ kurtulun).
- Kritik JPEG dosyalarını içeren up_param bölümünü değiştirin.
- Önyükleme görüntüsü doğrulamasını devre dışı bırakın.
- Güvenli Dünya’nın belleğinden hassas verileri çıkarın (“Android Anahtar Deposu şifreleme anahtarlarını” içerir).
Bu güvenlik ihlali “BlackHat USA 2024″te sunuldu ve araştırmacıların “GitHub”da “kavram kanıtı” gösterileri yayınlamasıyla Galaxy A serisindeki birden fazla cihazı etkiliyor.
Bu “birleşik güvenlik açıklarından” yararlanılmasının, “önyükleyiciden” “işletim sistemi” düzeyine kadar tüm cihaz güvenlik zincirini nasıl tehlikeye attığını gösteriyor.
Araştırmacılar, Android cihazlardaki en yüksek ayrıcalıklı bileşen olan ARM Güvenilir Ürün Yazılımında (“Güvenli Monitör” olarak da bilinir) güvenlik açıkları keşfettiler.
Burada iki kritik güvenlik açığı belirlendi ve bunlar, bir SMC işleyicisinde sınırların dışında okuma sorunu olan “CVE-2024-20820” ve rastgele fiziksel belleğin eşlenmesine izin veren “CVE-2024-20021” olarak izleniyor.
Saldırganlar, bu güvenlik açıklarını zincirleyerek, “Android Anahtar Deposu” gibi korumalı bileşenlere erişmek için kök ayrıcalıkları gibi “Android’in güvenlik modelini” atlayabilirler.
“Mediatek SoC” içeren bir “Samsung Galaxy A225F” üzerinde gösterilen istismar zinciri, USB üzerinden Little Kernel’de kod yürütülmesine izin veren dört hata içeriyordu.
Bu, tehdit aktörlerinin “Android’de ısrarla kök erişimi” elde etmesine ve “Güvenli Dünyanın belleğinden” veri sızdırmasına olanak tanır.
Bu ihlal, normalde root ayrıcalıklarıyla bile erişilemeyen “Anahtar deposu anahtarları” gibi hassas bilgilere erişimi mümkün kıldı.
Araştırmacılar, “Mediatek SoC’leri” kullanan birçok Samsung cihazı için önemli “güvenlik sonuçlarını” vurgulayan bulgularını BlackHat USA 2024’te sundular.
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar