گوگل مدعی است که شواهدی در اختیار دارد که نشان میدهد یک فروشنده سیستم نظارت تجاری از سه آسیبپذیری امنیتی روز صفر که در گوشیهای هوشمند جدید سامسونگ یافت میشود، سوء استفاده کرده است.
آسیبپذیریهای موجود در نرمافزار سفارشی سامسونگ به عنوان بخشی از زنجیره بهرهبرداری برای هدف قرار دادن گوشیهای سامسونگ با اندروید مورد استفاده قرار گرفتند. آسیبپذیریهای زنجیرهای به مهاجم اجازه میدهد تا به عنوان کاربر اصلی امتیاز خواندن و نوشتن هسته را به دست آورد و در نهایت دادههای دستگاه را در معرض دید قرار دهد.
مدی استون، محقق امنیتی Google Project Zero در یک پست وبلاگی گفته است که زنجیره اکسپلویت گوشی های سامسونگ را با تراشه اگزینوس که دارای نسخه هسته خاصی هستند هدف قرار می دهد. گوشیهای سامسونگ با تراشههای اگزینوس عمدتاً در اروپا، خاورمیانه و آفریقا فروخته میشوند که احتمالاً اهداف نظارتی در آنجا قرار دارند.
استون گفت گوشی های سامسونگ که در آن زمان از هسته آسیب دیده استفاده می کردند شامل S10، A50 و A51 بودند.
این آسیبپذیریها، پس از رفع شدن، توسط یک برنامه اندرویدی مخرب مورد سوء استفاده قرار میگیرند که ممکن است کاربر فریب خورده باشد تا آن را خارج از فروشگاه برنامه نصب کند. این برنامه مخرب به مهاجم اجازه می دهد تا از جعبه ایمنی برنامه که برای محدود کردن فعالیت آن طراحی شده است فرار کند و به بقیه سیستم عامل دستگاه دسترسی پیدا کند. استون گفت، تنها یک جزء از برنامه بهره برداری بدست آمده است، بنابراین مشخص نیست که بار نهایی چه بوده است، حتی اگر سه آسیب پذیری راه را برای تحویل نهایی آن هموار کرده باشند.
استون نوشت: «نخستین آسیبپذیری در این زنجیره، خواندن و نوشتن یک فایل دلخواه، اساس این زنجیره بود، چهار زمان مختلف استفاده شد و حداقل یک بار در هر مرحله استفاده شد. استون گفت: «قطعات جاوا در دستگاههای اندروید معمولاً محبوبترین اهداف برای محققان امنیتی نیستند، حتی اگر در چنین سطح ممتازی کار کنند.
گوگل از ذکر نام فروشنده نظارت تجاری خودداری کرد، اما گفت که این سوء استفاده از الگویی مشابه با آلودگی های اخیر دستگاه پیروی می کند که در آن از برنامه های مخرب اندروید برای ارائه نرم افزارهای جاسوسی ملی قدرتمند سوء استفاده می شود.
در اوایل سال جاری، محققان امنیتی Hermit را کشف کردند، یک نرم افزار جاسوسی اندروید و iOS که توسط آزمایشگاه RCS توسعه یافته و در حملات هدفمند دولت ها با قربانیان شناخته شده در ایتالیا و قزاقستان استفاده می شود. Hermit به فریب دادن هدف برای دانلود و نصب برنامه مخرب مانند یک برنامه کمکی مخفی مخابراتی تلفن همراه، در خارج از فروشگاه برنامه تکیه می کند، اما سپس بی سر و صدا مخاطبین، صدا، عکس ها، ویدیوها و داده های دقیق مکان قربانی را می دزدد. گوگل شروع به اطلاع رسانی به کاربران اندرویدی کرده است که دستگاه هایشان توسط Hermit در معرض خطر قرار گرفته است. فروشنده سیستم های نظارتی Connexxa همچنین از برنامه های مخرب جانبی برای هدف قرار دادن دارندگان اندروید و آیفون استفاده کرد.
گوگل این سه آسیبپذیری را در اواخر سال 2020 به سامسونگ گزارش کرد و سامسونگ در مارس 2021 وصلههایی را برای گوشیهای آسیبدیده منتشر کرد، اما در آن زمان فاش نکرد که این آسیبپذیریها به طور فعال مورد سوء استفاده قرار گرفتهاند. استون گفت که سامسونگ از آن زمان متعهد شده است که پس از اپل و گوگل که آسیبپذیریها مورد حمله قرار میگیرند، افشاگری را در زمانی که آسیبپذیریها به طور فعال مورد سوء استفاده قرار میگیرند، آغاز کند.
استون با اشاره به اینکه تحقیقات بیشتر می تواند آسیب پذیری های جدیدی را در نرم افزارهای سفارشی ایجاد شده توسط سازندگان دستگاه های اندرویدی مانند سامسونگ کشف کند، افزود: «تحلیل این زنجیره از سوء استفاده ها بینش های جدید و مهمی را در مورد نحوه هدف قرار دادن دستگاه های اندرویدی توسط مهاجمان به ما ارائه کرده است.
“این نیاز به تحقیقات بیشتر در مورد اجزای سازنده خاص را برجسته می کند. استون گفت: این نشان می دهد که کجا باید تحلیل بیشتری از گزینه ها انجام دهیم.