Mark Chan on unsplash
Google今年初發現三星手機作業系統3項漏洞遭到惡意軟體入侵,經通報後,三星已在3月間修補漏洞。
Google Project Zero研究員Maddie Stone及威脅分析小組(Threat Analysis Group,TAG)Clement Lecigne今年初發現3個已被利用的漏洞串,全數集中在三星的客製化元件。研究人員判斷,攻擊樣本是來自一家開發間諜軟體的商業公司於2020年底開發而成,為一JNI原生函式庫檔案。可能是隨同某個惡意App中下載,但研究人員並未找到函式庫使用的是哪個App。
3項漏洞分別是發生在剪貼簿元件的任意檔案讀寫CVE-2021-25337、sec_log元件的核心資訊洩露漏洞CVE-2021-25369及DPU驅動程式的使用已釋放記憶體(use-after-free)漏洞CVE-2021-25370。
其中CVE-2021-25337為當中最高風險的漏洞,CVSS風險值7.1。攻擊程式以SELinux的untrusted app(第三方程式)權限執行,但卻使用SELinux的system_server權限開啟檔案。照理說正常情況下是無法執行的,但三星客製的剪貼簿工具(SemClipboardProvider)具有系統使用者權限,卻同時發生欠缺存取控管的漏洞,致使惡意程式得以讀寫本機上的特定檔案。
其他二個則屬於中度風險漏洞,其中CVE-2021-25369為sec-log檔的存取控制不當,使敏感的核心資訊洩露到使用者空間(userspace)。而CVE-2021-25370則為DPU驅動程式對檔案描述符(file descriptor)處理的實作不當,導致記憶體毁損及核心錯誤(CVE-2021-253)。兩者風險值分別為5.5及4.4。
今年初的攻擊程式主要鎖定三星作業系統核心4.14.113搭載Exynos SoC處理器的手機。除了中國、美國等少數其他地方使用Qualcomm SoC處理器外,大部分銷售機種如歐洲及非洲都是搭載Exynos SoC。而使用該版核心的三星手機,主要是2020年年底出貨的,包括Galaxy S10、A50及A51。
三星已經在今年3月釋出修補程式。研究人員也呼籲用戶儘速更新到最新版本核心。
熱門新聞
2024-12-27
2024-12-24
2024-11-29
2024-12-22
2024-12-20