Την πρώτη εβδομάδα του Φεβρουαρίου, η Google δημοσίευσε το συνηθισμένο δελτίο ασφαλείας του Android, αναφέροντας λεπτομερώς τα κενά ασφαλείας που έχουν διορθωθεί για την ενίσχυση της ασφάλειας της πλατφόρμας. Αυτά τα ελαττώματα συνήθως δηλώνονται μόλις διορθωθούν, εκτός από ειδικές περιπτώσεις.
Ο Φεβρουάριος είναι μία από αυτές τις σπάνιες περιπτώσεις για ένα σφάλμα σε επίπεδο πυρήνα, υψηλής σοβαρότητας, το οποίο εξακολουθούσε να αξιοποιείται ενεργά κατά τη στιγμή της δημοσίευσης του δελτίου. «Υπάρχουν ενδείξεις ότι το CVE-2024-53104 μπορεί να βρίσκεται υπό περιορισμένη, στοχευμένη εκμετάλλευση», αναφέρει το σημείωμα της έκδοσης.
Το ελάττωμα αναφέρθηκε για πρώτη φορά από εμπειρογνώμονες της Διεθνούς Αμνηστίας, οι οποίοι το περιγράφουν ως «out-of-bound εγγραφή στο USB Video Class (UVC) driver». Οι ερευνητές προσθέτουν ότι δεδομένου ότι πρόκειται για ένα exploit σε επίπεδο kernel, επηρεάζει πάνω από ένα δισεκατομμύριο συσκευές Android, ανεξάρτητα από την εταιρεία κατασκευής.
Δεδομένου ότι πρόκειται για ένα zero-day exploit, μόνο οι επιτιθέμενοι γνωρίζουν την ύπαρξή του, εκτός εάν οι ειδικοί ασφαλείας αντιληφθούν την παρουσία του, αναπτύξουν ένα fix με την ομάδα της πλατφόρμας και στη συνέχεια το κυκλοφορήσουν ευρέως για όλες τις επηρεαζόμενες συσκευές. Δύο άλλες ευπάθειες, οι CVE-2024-53197 και CVE-2024-50302, έχουν διορθωθεί σε επίπεδο πυρήνα, αλλά δεν έχουν επιδιορθωθεί πλήρως σε επίπεδο λειτουργικού συστήματος από την Google.
Το σύνολο των επηρεαζόμενων συσκευών είναι ολόκληρο το οικοσύστημα Android, ενώ ο φορέας επίθεσης είναι μια διεπαφή USB. Συγκεκριμένα, μιλάμε για zero-day exploits στους USB drivers του Linux kernel, που επιτρέπουν σε έναν επιτήδειο να παρακάμψει την προστασία της οθόνης κλειδώματος και να αποκτήσει βαθιά προνομιακή πρόσβαση σε ένα smartphone μέσω σύνδεσης USB.
Σε αυτή την περίπτωση, ένα εργαλείο που προσφέρεται από την Cellebrite φέρεται να χρησιμοποιήθηκε για να ξεκλειδώσει το smartphone ενός Σέρβου ακτιβιστή φοιτητή και να αποκτήσει πρόσβαση σε δεδομένα που ήταν αποθηκευμένα σε αυτό. Συγκεκριμένα, ένα UFED kit της Cellebrite εγκαταστάθηκε από υπαλλήλους των αρχών επιβολής του νόμου στο smartphone του ακτιβιστή φοιτητή, χωρίς να τον ενημερώσουν σχετικά ή να λάβουν τη ρητή συγκατάθεσή του.
Η Αμνηστία αναφέρει ότι η χρήση ενός εργαλείου όπως το Cellebrite - το οποίο έχει χρησιμοποιηθεί για την ευρεία στοχοποίηση δημοσιογράφων και ακτιβιστών - δεν είχε νομικά εγκριθεί. Το εν λόγω smartphone ήταν ένα Samsung Galaxy A32, ενώ η συσκευή Cellebrite μπόρεσε να σπάσει την προστασία της οθόνης κλειδώματος και να αποκτήσει πρόσβαση root.
«Οι πωλητές Android πρέπει επειγόντως να ενισχύσουν τα αμυντικά χαρακτηριστικά ασφαλείας για να μετριάσουν τις απειλές από μη αξιόπιστες συνδέσεις USB σε κλειδωμένες συσκευές», αναφέρει η έκθεση της Αμνηστίας. Αυτή δεν θα είναι η πρώτη φορά που το όνομα Cellebrite εμφανίζεται στην επικαιρότητα.
Η εταιρεία πουλάει τα εργαλεία εγκληματολογικής ανάλυσης σε υπηρεσίες επιβολής του νόμου και ομοσπονδιακές υπηρεσίες στις ΗΠΑ και σε πολλές άλλες χώρες, επιτρέποντάς τους να εισέλθουν με brute-force σε συσκευές και να εξάγουν κρίσιμες πληροφορίες.
Το 2019, η Cellebrite ισχυρίστηκε ότι μπορούσε να ξεκλειδώσει οποιαδήποτε συσκευή Android ή Apple χρησιμοποιώντας την Universal Forensic Extraction Device. Ωστόσο, έχει επίσης εγείρει ηθικές ανησυχίες και συναγερμούς για την προστασία της ιδιωτικής ζωής σχετικά με την αθέμιτη χρήση από τις αρχές για παρακολούθηση, παρενόχληση και στοχοποίηση πληροφοριοδοτών, δημοσιογράφων και ακτιβιστών.
Πριν από λίγους μήνες, η Apple αυστηροποίησε επίσης αθόρυβα τα πρωτόκολλα ασφαλείας με την ενημέρωση iOS 18.1, με σκοπό να εμποδίσει τη μη εξουσιοδοτημένη πρόσβαση σε κλειδωμένα smartphones και να αποτρέψει την εκροή ευαίσθητων πληροφοριών.
[via]
