Ce este QuadRooter? Sunt vulnerabile 900 de milioane de dispozitive Android? (Android, Securitate, Stoc Android)

iAmLearning a intrebat.

Ce este de fapt QuadRooter și cum funcționează pe dispozitivele Android?

În prezent, acesta se află în știri că 900 de milioane de dispozitive Android sunt vulnerabile:

În software-ul utilizat pe zeci de milioane de dispozitive Android au fost descoperite defecte grave de securitate care ar putea oferi atacatorilor acces complet la datele unui telefon.

Defecțiunile au fost descoperite de cercetătorii de la Checkpoint, care au analizat software-ul care rulează pe chipset-uri produse de firma americană Qualcomm.

Procesoarele Qualcomm se regăsesc în aproximativ 900 de milioane de telefoane Android, a declarat compania.

În articol se mai spune că este vorba de ceva la nivelul chipsetului.

Este adevărat acest lucru?

Și cum funcționează acest lucru la nivel intern?

Comentarii

  • Nu pot răspunde la întrebare, dar citiți cu atenție articolul pentru a vedea jocul necinstit al cifrelor. „software folosit pe zeci de milioane de… (fără legătură) 900 de milioane” Presei îi plac cifrele mari. Cu cât mai mari, cu atât mai bine. Răspunsul la întrebarea dumneavoastră este probabil „Nu, doar acele zeci de milioane sunt afectate.”, dar nu știu asta cu siguranță, așa că nu voi scrie un răspuns. –  > Por Stig Hemmer.
  • Orice telefon care rulează Android 4.2 (JellyBean) sau o versiune mai recentă va avea instalată aplicația Google App Verify. Acesta este activat în mod implicit și va detecta aceste vulnerabilități în orice aplicație instalată, atâta timp cât Google Play Services este instalat pe telefon. Așadar, nici pe departe nu sunt afectate 900 de milioane de dispozitive, deoarece 4.2 sau o versiune mai recentă se află pe aproximativ 80% din toate dispozitivele Android. Vor fi afectați doar cei care au versiuni mai vechi de Android sau telefoane Android ieftine care nu au licență Google Play Services. –  > Por ehambright.
  • @ehambright Cu toate acestea, majoritatea, dacă nu toate telefoanele vândute în China, fie că sunt ieftine sau nu, fabricate în China sau nu, au 4.2+ sau nu, nu sunt încărcate cu GAPPS/PlayServices. Acestea reprezintă o parte semnificativă din vânzările Android (nu neapărat 900M totuși). Adăugați la asta faptul că noi, chinezii, folosim exclusiv piețe alternative și avem o problemă, cel puțin pentru noi. –  > Por Andy Yan.
2 răspunsuri
RedGrittyBrick

Ce este QuadRooter?

Quadrooter este un nume pentru un set de vulnerabilități de securitate care include

Acestea sunt puncte slabe în software-ul de sistem Linux/Android furnizat de producătorul de chipset-uri Qualcomm.

Acestea ar putea fi exploatate de o aplicație pe care o descărcați, chiar și una care nu solicită privilegii speciale. O astfel de aplicație ar putea exploata aceste vulnerabilități pentru a obține un nivel mai ridicat de control asupra telefonului dvs., inclusiv accesul la orice date private pe care le-ați stocat pe acesta.


US National Vulnerability Database oferă următoarea descriere pentru vulnerabilitățile enumerate mai sus

2059

Funcția msm_ipc_router_bind_control_port din net/ipc_router/ipc_router_core.c din modulul kernelului routerului IPC pentru kernelul Linux 3.x, așa cum este utilizat în contribuțiile Qualcomm Innovation Center (QuIC) Android pentru dispozitive MSM și alte produse, nu verifică dacă un port este un port client, ceea ce permite atacatorilor să obțină privilegii sau să provoace o negare a serviciului (condiție de cursă și corupție a listei) prin efectuarea multor apeluri ioctl BIND_CONTROL_PORT.

2504

Driverul Qualcomm GPU din Android înainte de 2016-08-05 pe dispozitivele Nexus 5, 5X, 6, 6P și 7 (2013) permite atacatorilor să obțină privilegii prin intermediul unei aplicații modificate, alias bug-ul intern Android 28026365 și bug-ul intern Qualcomm CR1002974.

2503

Driverul Qualcomm GPU din Android înainte de 2016-07-05 pe dispozitivele Nexus 5X și 6P permite atacatorilor să obțină privilegii prin intermediul unei aplicații modificate, cunoscut și ca bug-ul intern Android 28084795 și bug-ul intern Qualcomm CR1006067.

5340

Funcția is_ashmem_file din drivers/staging/android/ashmem.c dintr-un anumit patch Android Qualcomm Innovation Center (QuIC) pentru kernelul Linux 3.x gestionează greșit validarea pointerilor în cadrul KGSL Linux Graphics Module, ceea ce permite atacatorilor să ocolească restricțiile de acces prevăzute prin utilizarea șirului /ashmem ca nume de dentry.


Puteți descărca o aplicație denumită „Quadrooter Scanner” din magazinul Google Play – aceasta vă va spune dacă telefonul dumneavoastră este vulnerabil. Aplicația a fost scrisă de Checkpoint Software Technologies Ltd. Am instalat-o, am rulat-o și am dezinstalat-o. În afară de asta, nu pot spune dacă este fiabilă în vreun fel.

Qualcomm a emis remedieri de software pentru producători

Google a abordat câteva dintre acestea în buletinele lor de securitate pentru Iulie și august

Issue                                    CVE            Severity    Affects 
                                                                    Nexus?
Elevation of privilege vulnerability in  CVE-2016-2503,  Critical   Yes
Qualcomm GPU driver (Device specific)    CVE-2016-2067

Elevation of privilege vulnerability in  CVE-2016-2504,  Critical   Yes
Qualcomm GPU driver                      CVE-2016-3842

Elevation of privilege vulnerability in Qualcomm GPU driver

An elevation of privilege vulnerability in the Qualcomm GPU driver could 
enable a local malicious application to execute arbitrary code within the 
context of the kernel. This issue is rated as Critical due to the 
possibility of a local permanent device compromise, which may require 
reflashing the operating system to repair the device.

CVE References  Severity    Updated Nexus devices   Date reported
CVE-2016-2504    Critical   Nexus 5, Nexus 5X,      Apr 5, 2016
A-28026365                  Nexus 6, Nexus 6P, 
QC-CR#1002974               Nexus 7 (2013)

Bănuiesc că posesorii de telefoane vulnerabile au o serie de opțiuni, inclusiv unele sau toate

  • să aștepte ca producătorul să furnizeze o actualizare prin aer pentru a remedia problema.
  • să nu descarce aplicații noi
  • să împiedice actualizarea aplicațiilor până la remedierea vulnerabilităților
  • dezinstalați toate aplicațiile inutile
  • opriți telefonul până când vă asigurați că este gata o soluție de remediere

Cred că mulți oameni ar considera cel puțin ultimul punct ca fiind exagerat.


Sunt vulnerabile 900 de milioane de dispozitive Android?

Vânzările mondiale de smartphone-uri sunt de ordinul a 1 miliard în fiecare an.

Qualcomm este unul dintre principalii producători de circuite integrate utilizate în smartphone-uri. Aceștia comercializează o varietate de circuite integrate, inclusiv gama populară „Snapdragon” de procesoare bazate pe ARM. Veniturile lor anuale sunt de ordinul a 25 de miliarde USD.

Potrivit Forbes

conform ABI Research, principalul producător de chipseturi Qualcomm a rămas lider în 2015 în ceea ce privește chipseturile de bandă de bază LTE. Compania a deținut o cotă masivă de 65% din piața de chipset-uri LTE baseband în acel an.

Este posibil să existe 2 miliarde de smartphone-uri în uz în 2016. Bineînțeles, multe dintre acestea vor fi dispozitive IOS. S-ar putea să mai existe unul sau doi utilizatori de Windows Phone :-).

Durata medie de viață a unui smartphone ar putea fi de doi ani sau poate fi de patru ani. Există cu siguranță o piață a smartphone-urilor la mâna a doua. Pare plauzibil ca multe smartphone-uri mai vechi de un an să fie încă în uz.

Bineînțeles, există dispozitive Android care nu sunt smartphone-uri. Google estimează că există 1,4 miliarde de dispozitive Android active la nivel mondial. 65% din 1,4 miliarde înseamnă 910 milioane. Acesta ar putea fi modul în care jurnaliștii au ajuns la această cifră. Dacă este așa, nu este deloc exactă.

Cu toate acestea, presupunând că driverele vulnerabile există de mai mulți ani, pare plauzibil ca sute de milioane de dispozitive să fie afectate. 900 de milioane pare a fi limita extremă superioară a estimărilor posibile.


În legătură cu acest subiect

Comentarii

  • Deci, un kernel personalizat poate fi sau nu suficient pentru a remedia această vulnerabilitate? –  > Por Grimoire.
  • Mă întreb dacă se poate avea încredere în instrumentul de scanare pentru a nu mai face nimic în continuare cu informațiile pe care le găsește… – -.  > Por John Dvorak.
  • @JanDvorak: Cel puțin vă oferă o opțiune de a partaja sau nu rezultatele scanării –  > Por beeshyams.
  • @beeshyams Ceea ce reprezintă o scuză perfectă pentru a obliga utilizatorul să activeze accesul la rețea pentru tine, astfel încât să poți trimite datele personale la care tocmai ai obținut acces. –  > Por Dmitri Grigoriev.
  • ca întotdeauna, se pare că răspunsul este – să presupunem că telefonul este deja piratat și să nu stocăm date sensibile pe el și nici să îi permitem să acceseze date sensibile. Aceste defecte (și lipsa actualizărilor de securitate) transformă smartphone-urile în jucării, deși se pare că, oricum, doar pentru asta sunt folosite 🙂 –  > Por gbjbaanb.
beeshyams

Mai multe despre Quadrooter

Defectul Linux de deturnare a traficului afectează 80% din dispozitivele Android – inclusiv Nougat – extrase

Deși există un număr foarte mare de smartphone-uri și tablete expuse riscului, Lookout spune că defectul este dificil de exploatat, atenuând oarecum riscurile:

  • Vulnerabilitatea permite unui atacator să spioneze de la distanță persoanele care folosesc trafic necriptat sau să degradeze conexiunile criptate. Deși aici nu este necesar un atac de tip „man in the middle”, atacatorul trebuie totuși să cunoască o adresă IP sursă și una de destinație pentru a executa cu succes atacul.

    • Putem estima, așadar, că toate versiunile Android care rulează Linux Kernel 3.6 (aproximativ Android 4.4 KitKat) până la cea mai recentă sunt vulnerabile la acest atac sau 79,9% din ecosistemul Android.

    • Am constatat că patch-ul pentru kernelul Linux a fost creat la 11 iulie 2016. Cu toate acestea, verificând cea mai recentă previzualizare pentru dezvoltatori a Android Nougat, nu pare că Kernel-ul este corectat împotriva acestui defect. Cel mai probabil, acest lucru se datorează faptului că patch-ul nu a fost disponibil înainte de cea mai recentă actualizare Android.

(Sublinierea furnizată)

Pentru a remedia această vulnerabilitate, dispozitivele Android trebuie să aibă kernelul Linux actualizat. Din fericire, există câteva remedii pe care un utilizator le poate face până când patch-ul este lansat:

  • Criptați-vă comunicațiile pentru a preveni spionarea acestora. Acest lucru înseamnă să vă asigurați că site-urile web pe care le accesați și aplicațiile pe care le folosiți utilizează HTTPS cu TLS. De asemenea, puteți utiliza un VPN dacă doriți să adăugați un pas suplimentar de precauție.

  • Dacă aveți un dispozitiv Android înrădăcinat, puteți îngreuna acest atac utilizând instrumentul sysctl și modificând valoarea pentru net.ipv4.tcp_challenge_ack_limit la ceva foarte mare, de exemplu net.ipv4.tcp_challenge_ack_limit = 99999999999

Escrocii au pus în Google Play o aplicație falsă de patch-uri de securitate pentru Android– extracte

Escrocii au pus o aplicație falsă de patch de securitate Android în Google Play pentru a infecta smartphone-uri.

Falsul patch, împachetat sub forma unei aplicații, a fost disponibil pentru scurt timp în Google Play și a pretins că rezolvă așa-numitele bug-uri QuadRooter, care au fost dezvăluite de firma de securitate Check Point săptămâna trecută.

Potrivit firmei de securitate ESET, Google a retras acum cele două aplicații incriminate din Google Play. Ambele aplicații se numeau „Fix Patch QuadRooter”, de la un editor Kiwiapps Ltd.

Cercetătorii ESET au declarat că este pentru prima dată când au fost folosite patch-uri de securitate false pentru Android pentru a ademeni potențiale victime

Comentarii

  • Ce alte resurse Android (dacă există) sunt afectate de ridicarea net.ipv4.tcp_challenge_ack_limit la o valoare foarte mare ? Va inhiba sau va reduce ceva partea de net ? (Nu știu, de aceea întreb) -.  > Por HasH_BrowN.
  • @HasH_BrowN îmi pare rău, nu am nici o idee –  > Por beeshyams.