Che cos'è QuadRooter? 900 milioni di dispositivi Android sono vulnerabili?

51

Che cos'è effettivamente QuadRooter e come funziona sui dispositivi Android?

È attualmente nelle notizie che 900 milioni di dispositivi Android sono vulnerabili:

Sono stati rilevati gravi problemi di sicurezza che potrebbero consentire agli autori di attacchi di accedere completamente ai dati di un telefono nei software utilizzati su decine di milioni di dispositivi Android.

I bug sono stati scoperti dai ricercatori di Checkpoint che guardavano il software in esecuzione su chipset realizzato dalla società americana Qualcomm.

I processori Qualcomm si trovano in circa 900 milioni di telefoni Android, ha affermato la società.

L'articolo diceva anche che è qualcosa a livello di chipset.

È vero?

E come funziona internamente?

security  stock-android 
sto imparando
fonte
2
Non riesco a rispondere alla domanda, ma leggi attentamente l'articolo per vedere il gioco dei numeri disonesto. "software utilizzato su decine di milioni ... (non correlato) 900 milioni" Alla stampa piacciono i grandi numeri. Piu 'grande e', meglio 'e. La risposta alla tua domanda è probabilmente "No, solo quelle decine di milioni sono interessate". ma non lo so per certo, quindi non scriverò una risposta.
Stig Hemmer,
1
Su qualsiasi telefono che esegue Android 4.2 (JellyBean) o versione successiva sarà installata la Verifica app di Google. Questa opzione è attiva per impostazione predefinita e rileverà queste vulnerabilità in qualsiasi app installata, a condizione che Google Play Services sia installato sul telefono. Pertanto, in nessun caso sono interessati quasi 900 milioni di dispositivi, dato che 4.2 o versioni successive sono presenti su circa l'80% di tutti i dispositivi Android. Saranno interessati solo quelli con versioni Android precedenti o telefoni Android economici che non dispongono di licenza per Google Play Services.
ehambright,
1
@ehambright Eppure la maggior parte, se non tutti i telefoni venduti in Cina, che siano economici o no, fabbricati in Cina o meno, con 4.2+ o meno, non sono caricati con GAPPS / PlayServices. Rappresentano una parte significativa delle vendite di Android (non necessariamente 900M però). Aggiungete al fatto che noi cinesi usiamo esclusivamente mercati alternativi e abbiamo un problema almeno per noi stessi.
Andy Yan,

Risposte:

59

Che cos'è QuadRooter?

Quadrooter è un nome per una serie di vulnerabilità di sicurezza tra cui

Questi sono punti deboli nel software di sistema Linux / Android fornito dal produttore di chipset Qualcomm.

Potrebbero essere sfruttati da un'app che scarichi, anche da una che non richiede privilegi speciali. Tale app potrebbe sfruttare queste vulnerabilità per ottenere un controllo di livello superiore del telefono, incluso l'accesso a tutti i dati privati ​​memorizzati su di essa.

Il database delle vulnerabilità nazionali degli Stati Uniti fornisce la seguente descrizione per le vulnerabilità sopra elencate

2059

La funzione msm_ipc_router_bind_control_port in net / ipc_router / ipc_router_core.c nel modulo del kernel del router IPC per Linux kernel 3.x, utilizzata nei contributi Android di Qualcomm Innovation Center (QuIC) per dispositivi MSM e altri prodotti, non verifica che una porta sia una porta client, che consente agli aggressori di ottenere privilegi o causare una negazione del servizio (condizioni di competizione e corruzione dell'elenco) effettuando molte chiamate ioctl BIND_CONTROL_PORT.

2504

Il driver GPU Qualcomm su Android prima del 05-08-2016 sui dispositivi Nexus 5, 5X, 6, 6P e 7 (2013) consente agli utenti malintenzionati di ottenere privilegi tramite un'applicazione predisposta, ovvero il bug interno Android 28026365 e il bug interno Qualcomm CR1002974.

2503

Il driver GPU Qualcomm su Android prima del 05-07-2016 sui dispositivi Nexus 5X e 6P consente agli utenti malintenzionati di ottenere privilegi tramite un'applicazione predisposta, nota anche come bug interno Android 28084795 e bug interno CR1006067 di Qualcomm.

5340

La funzione is_ashmem_file in drivers / staging / android / ashmem.c in una determinata patch Android Qualcomm Innovation Center (QuIC) per il kernel Linux 3.x non gestisce correttamente la convalida del puntatore all'interno del modulo grafico Linux KGSL, che consente agli aggressori di eludere le restrizioni di accesso previste usando la stringa / ashmem come nome dell'odontoiatria.

Puoi scaricare un'app chiamata " Quadrooter Scanner " dal Google Play Store: ti dirà se il tuo telefono è vulnerabile. L'applicazione è stata scritta da Checkpoint Software Technologies Ltd . L'ho installato, eseguito e disinstallato. A parte questo, non posso dire se sia affidabile in alcun modo.

Qualcomm ha rilasciato correzioni software ai produttori

Google ha affrontato un paio di questi nei loro bollettini sulla sicurezza per luglio e agosto

Issue                                    CVE            Severity    Affects 
                                                                    Nexus?
Elevation of privilege vulnerability in  CVE-2016-2503,  Critical   Yes
Qualcomm GPU driver (Device specific)    CVE-2016-2067

...

Elevation of privilege vulnerability in  CVE-2016-2504,  Critical   Yes
Qualcomm GPU driver                      CVE-2016-3842

...

Elevation of privilege vulnerability in Qualcomm GPU driver

An elevation of privilege vulnerability in the Qualcomm GPU driver could 
enable a local malicious application to execute arbitrary code within the 
context of the kernel. This issue is rated as Critical due to the 
possibility of a local permanent device compromise, which may require 
reflashing the operating system to repair the device.

CVE References  Severity    Updated Nexus devices   Date reported
CVE-2016-2504    Critical   Nexus 5, Nexus 5X,      Apr 5, 2016
A-28026365                  Nexus 6, Nexus 6P, 
QC-CR#1002974               Nexus 7 (2013)

Sospetto che i proprietari di telefoni vulnerabili abbiano una serie di opzioni tra cui alcune o tutte

  • attendere che il produttore fornisca un aggiornamento via etere per risolvere questo problema.
  • non scaricare nuove app
  • impedire l'aggiornamento delle app fino a quando le vulnerabilità non vengono risolte
  • disinstallare tutte le app superflue
  • spegnere il telefono fino a quando non è pronta una correzione

Immagino che molte persone considererebbero almeno l'ultimo elemento eccessivo.

900 milioni di dispositivi Android sono vulnerabili?

Le vendite mondiali di smartphone sono dell'ordine di 1 miliardo ogni anno .

Qualcomm è un importante produttore di circuiti integrati utilizzati negli smartphone. Vendono una varietà di circuiti integrati tra cui la famosa gamma "Snapdragon" di CPU basate su ARM. I loro ricavi annuali sono dell'ordine di 25 miliardi di dollari.

Secondo Forbes

Secondo ABI Research, il principale produttore di chipset Qualcomm è rimasto un leader nei chipset in banda base LTE nel 2015. La società deteneva un enorme 65% del mercato dei chipset in banda base LTE nel corso dell'anno.

Nel 2016 potrebbero essere in uso 2 miliardi di smartphone . Naturalmente, molti di questi saranno dispositivi IOS. Potrebbero esserci ancora uno o due utenti di Windows Phone :-).

La durata media di uno smartphone potrebbe essere di due anni o potrebbe essere di quattro anni . Esiste sicuramente un mercato per gli smartphone di seconda mano. Sembra plausibile che molti smartphone di età superiore a un anno siano ancora in uso.

Certo, ci sono dispositivi Android che non sono smartphone. Google stima che ci siano 1,4 miliardi di dispositivi Android attivi in ​​tutto il mondo . Il 65% di 1,4 miliardi è di 910 milioni. Questo potrebbe essere il modo in cui i giornalisti sono arrivati ​​a questa cifra. In tal caso, non è affatto preciso.

Tuttavia, supponendo che i driver vulnerabili esistano da diversi anni, sembra plausibile che centinaia di milioni di dispositivi possano essere interessati. 900 milioni sembrano essere il limite estremo delle stime possibili.

Relazionato

RedGrittyBrick
fonte
Quindi, un kernel personalizzato può o non può essere sufficiente per correggere questa vulnerabilità?
Death Mask Salesman
7
Mi chiedo se ci si può fidare che lo strumento scanner non faccia altro con le informazioni che trova ...
John Dvorak
@JanDvorak: almeno ti dà la possibilità di condividere i risultati della scansione o no
beeshyams
10
@beeshyams È una scusa perfetta per consentire all'utente di abilitare l'accesso alla rete per te, in modo che tu possa inviare via i dati personali a cui hai appena ottenuto l'accesso.
Dmitry Grigoryev l'
3
come sempre sembra che la risposta sia: supponi che il tuo telefono sia già stato violato e di non archiviare dati sensibili su di esso, né di consentirgli di accedere a dati sensibili. Questi difetti (e la mancanza di aggiornamenti di sicurezza) trasformano gli smartphone in giocattoli, anche se sembra essere tutto ciò per cui vengono utilizzati comunque :-)
gbjbaanb
2

Altro su Quadrooter

Il dirottamento del traffico su Linux ha ripercussioni sull'80% dei dispositivi Android - compresi Nougat - estratti

Sebbene ci sia un numero enorme di smartphone e tablet a rischio, Lookout afferma che il difetto è difficile da sfruttare, mitigando in qualche modo i rischi:

  • La vulnerabilità consente a un utente malintenzionato di spiare in remoto persone che utilizzano traffico non crittografato o degradano connessioni crittografate. Mentre un uomo nel mezzo dell'attacco non è richiesto qui, l'attaccante deve ancora conoscere un indirizzo IP di origine e destinazione per eseguire correttamente l'attacco.

    • Possiamo quindi stimare che tutte le versioni di Android che eseguono Linux Kernel 3.6 (approssimativamente Android 4.4 KitKat) all'ultima sono vulnerabili a questo attacco o al 79,9 percento dell'ecosistema Android.

    • Abbiamo scoperto che la patch per il kernel Linux è stata creata l'11 luglio 2016. Tuttavia, controllando l'anteprima dell'ultimo sviluppatore di Android Nougat, non sembra che il kernel sia corretto con questo difetto. Ciò è probabilmente dovuto al fatto che la patch non era disponibile prima dell'ultimo aggiornamento di Android.

(Enfasi fornita)

Per correggere questa vulnerabilità, i dispositivi Android devono aggiornare il proprio kernel Linux. Fortunatamente, ci sono alcuni rimedi che un utente può fare fino al rilascio della patch:

  • Crittografa le tue comunicazioni per impedire che vengano spiate. Ciò significa garantire che i siti Web visitati e le app utilizzate utilizzino HTTPS con TLS. Puoi anche utilizzare una VPN se desideri aggiungere un ulteriore punto di precauzione.

  • Se hai un dispositivo Android con root puoi rendere più difficile questo attacco usando lo strumento sysctl e cambiando il valore di net.ipv4.tcp_challenge_ack_limit in qualcosa di molto grande, ad esempio net.ipv4.tcp_challenge_ack_limit = 999999999

I truffatori inseriscono una falsa app per patch di sicurezza Android in Google Play - estratti

I truffatori inseriscono una falsa app per patch di sicurezza Android in Google Play per infettare gli smartphone.

La patch fasulla, confezionata come un'app, è stata brevemente disponibile in Google Play e ha preteso di correggere i cosiddetti bug QuadRooter rivelati dalla società di sicurezza Check Point la scorsa settimana.

Secondo la società di sicurezza ESET, Google ha ora estratto le due app offensive da Google Play. Entrambi sono stati entrambi chiamati "Fix Patch QuadRooter" da un editore Kiwiapps Ltd.

I ricercatori di ESET hanno affermato che è la prima volta che vengono utilizzate patch di sicurezza Android false per attirare potenziali vittime

beeshyams
fonte
Quali altre risorse Android (se presenti) sono interessate aumentando net.ipv4.tcp_challenge_ack_limit a qualcosa di molto grande ? Inibirà o ridurrà qualcosa dal lato netto? (Non so per questo che sto chiedendo)
HasH_BrowN
@HasH_BrowN scusa, non ne ho idea
beeshyams,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.