Google今年初发现三星手机操作系统3项漏洞遭到恶意软件入侵,经通报后,三星已在3月间修补漏洞。
Google Project Zero研究员Maddie Stone及威胁分析小组(Threat Analysis Group,TAG)Clement Lecigne今年初发现3个已被利用的漏洞串,全部集中在三星的定制化组件。研究人员判断,攻击样本是来自一家开发间谍软件的商业公司于2020年底开发而成,为一JNI原生函数库文件。可能是随同某个恶意App中下载,但研究人员并未找到函数库使用的是哪个App。
3项漏洞分别是发生在剪贴板组件的任意文件读写CVE-2021-25337、sec_log组件的核心资讯泄露漏洞CVE-2021-25369及DPU驱动程序的使用已释放内存(use-after-free)漏洞CVE-2021-25370。
其中CVE-2021-25337为其中最高风险的漏洞,CVSS风险值7.1。攻击程序以SELinux的untrusted app(第三方程式)权限执行,但却使用SELinux的system_server权限打开文件。按理说正常情况下是无法执行的,但三星定制的剪贴板工具(SemClipboardProvider)具有系统用户权限,却同时发生欠缺访问管控的漏洞,致使恶意程序得以读写本机上的特定文件。
其他二个则属于中度风险漏洞,其中CVE-2021-25369为sec-log档的访问控制不当,使敏感的核心资讯泄露到用户空间(userspace)。而CVE-2021-25370则为DPU驱动程序对文件描述符(file descriptor)处理的实例不当,导致内存毁损及核心错误(CVE-2021-253)。两者风险值分别为5.5及4.4。
今年初的攻击程序主要锁定三星操作系统核心4.14.113搭载Exynos SoC处理器的手机。除了中国、美国等少数其他地方使用Qualcomm SoC处理器外,大部分销售机型如欧洲及非洲都是搭载Exynos SoC。而使用该版核心的三星手机,主要是2020年年底出货的,包括Galaxy S10、A50及A51。
三星已经在今年3月发布修补程序。研究人员也呼吁用户尽快更新到最新版本核心。