Правительство Сербии использовало «нулевые дни» Qualcomm для разблокировки и заражения Android-устройств новым шпионским ПО под названием «NoviSpy», которое используется для слежки за активистами, журналистами и участниками протестных акций.
Одним из дефектов Qualcomm, связанных с атаками, является CVE-2024-43047, который был отмечен как активно эксплуатируемая уязвимость нулевого дня в Google Project Zero в октябре 2024 года и получил исправление в Android в ноябре.
Шпионское ПО, которое, судя по сообщениям, было установлено сербскими властями, было обнаружено лабораторией безопасности Amnesty International на телефоне журналиста после того, как полиция вернула его.
«В феврале 2024 года Славиша Миланов, независимый журналист из Димитровграда в Сербии, освещающий местные новости, был доставлен в полицейский участок после, казалось бы, обычной остановки транспорта. После того как Славишу отпустили, он заметил, что его телефон, который он оставил в приемной полицейского участка по просьбе сотрудников, ведет себя странно – настройки передачи данных и wi-fi были отключены. Осознавая, что это может быть признаком взлома, и помня об угрозах слежки, с которыми сталкиваются журналисты в Сербии, Славиша обратился в Лабораторию безопасности Amnesty International с просьбой провести анализ его телефона.»
- говорится в отчете Amnesty International
Впоследствии исследователи предоставили группе анализа угроз Google (TAG) артефакты эксплойтов, что привело к обнаружению недостатков в драйвере DSP (Digital Signal Processor) компании Qualcomm («adsprpc»), который используется для выгрузки обработки мультимедиа на ядро DSP.
Хотя Google не уверена в том, какие именно уязвимости использует NoviSpy, полученные данные свидетельствуют о том, что шпионская программа использует цепочку эксплойтов для обхода механизмов безопасности Android и постоянной установки на уровне ядра.
NoviSpy развернут в Сербии
Amnesty International сообщает, что NoviSpy был развернут Сербским информационным агентством безопасности (BIA) и сербской полицией после того, как телефон был разблокирован с помощью инструментов разблокировки Cellebrite во время задержания.
Исследователи полагают, что Cellebrite использовала «нулевые дни» Qualcomm для разблокировки телефонов на базе Android, основываясь на данных судебной экспертизы поддельных устройств.
«Во время проведения исследований для этого отчета Лаборатория безопасности также обнаружила результаты экспертизы, позволившие выявить уязвимость нулевого дня для повышения привилегий в Android, которая использовалась для повышения привилегий на устройстве активиста из Сербии. Уязвимость, выявленная в сотрудничестве с исследователями безопасности из Androidmaker Google, затронула множество Android-устройств, использующих популярные чипсеты Qualcomm, и повлияла на миллионы Android-устройств по всему миру»
- говорится в отчете Amnesty International
Шпионское ПО взаимодействовало с серверами на IP-адресах, напрямую связанных с BIA, а конфигурационные данные в образцах указывали на конкретного человека, связанного с предыдущими программами страны по закупке шпионского ПО.
Однако Amnesty утверждает, что технические данные свидетельствуют о том, что NoviSpy был установлен на десятки, если не сотни, Android-устройств в Сербии за последние несколько лет.
Что касается первоначальной компрометации, то, по мнению Amnesty International, найденные артефакты указывают на атаку «нулевого клика» с использованием функций Android для звонков, таких как Voice-over-Wifi или Voice-over-LTE (VoLTE).
Они были активны на исследованных скомпрометированных устройствах и использовались как часть звонков Rich Communication Suite (RCS).
Amnesty International подозревает, что некоторые активисты могли быть атакованы с помощью уязвимости в Android с нулевым кликом, которая может быть использована для получения телефонных звонков с недействительных многозначных телефонных номеров, как показано ниже.
Google находит недостатки Qualcomm
Специалисты Google TAG получили журналы паники ядра, сгенерированные эксплойтами, зафиксированными Amnesty International, и, проделав обратную работу, выявили шесть уязвимостей в драйвере adsprpc компании Qualcomm, используемом в миллионах устройств на базе Android.
Вкратце эти шесть уязвимостей можно описать следующим образом:
- CVE-2024-38402: Проблема подсчета ссылок в драйвере может привести к эксплуатации функции use-after-free (UAF) и выполнению произвольного кода в пространстве ядра.
- CVE-2024-21455: Недостаточная обработка флага „is_compat“ позволяет рассматривать указатели, управляемые пользователем, как указатели ядра, что создает произвольные примитивы чтения/записи и приводит к повышению привилегий.
- CVE-2024-33060: Состояние гонки в „fastrpc_mmap_create“ подвергает драйвер уязвимости UAF, особенно при работе с глобальными картами памяти, что приводит к повреждению памяти ядра.
- CVE-2024-49848: Логическая ошибка при работе с постоянными отображениями вызывает сценарий UAF при неправильном освобождении ссылок на отображения, обеспечивающие механизм постоянства.
- CVE-2024-43047: Перекрывающиеся отображения памяти в „fastrpc_mmap“ могут привести к повреждению ссылок на объекты, что потенциально может привести к повреждению памяти.
- No CVE: Неправильная проверка в fastrpc_mmap_find приводит к утечке информации об адресном пространстве ядра, что позволяет обойти рандомизацию расположения адресного пространства ядра (KASLR).
Исследователи Google подтвердили факт эксплуатации CVE-2024-43047 и предполагают, что остальные были использованы в сложной цепочке атак.
На момент написания статьи компания Qualcomm не выпустила патч для CVE-2024-49848, несмотря на то, что Google сообщила им об этой проблеме 145 дней назад.
Google также отметила, что Qualcomm задержала выпуск патчей для CVE-2024-49848 и CVE-2024-21455 на стандартный для отрасли срок в 90 дней.
Исправление уже разработано и проходит процесс раскрытия информации, а соответствующий бюллетень безопасности будет выпущен в январе 2025 года.
Что касается уязвимости, не имеющей идентификатора CVE, то, по словам Qualcomm, она была упакована вместе с исправлением CVE-2024-33060 в сентябре 2024 года, и, следовательно, уже исправлена.
Комментарии (0)