O que é o QuadRooter? 900 milhões de dispositivos Android são vulneráveis?

51

O que realmente é o QuadRooter e como ele funciona em dispositivos Android?

Atualmente, é notícia que 900 milhões de dispositivos Android são vulneráveis:

Falhas graves de segurança que poderiam dar aos invasores acesso completo aos dados de um telefone foram encontradas em softwares usados ​​em dezenas de milhões de dispositivos Android.

Os bugs foram descobertos por pesquisadores da Checkpoint que analisavam o software rodando em chipsets fabricados pela empresa americana Qualcomm.

Os processadores Qualcomm são encontrados em cerca de 900 milhões de telefones Android, informou a empresa.

O artigo também disse que é algo no nível do chipset.

Isso é verdade?

E como isso funciona internamente?

security stock-android Estou aprendendo
fonte
2
Não consigo responder à pergunta, mas leia o artigo atentamente para ver o jogo desonesto de números. "software usado em dezenas de milhões ... (não relacionado) em 900 milhões" A imprensa gosta de grandes números. Quanto maior melhor. A resposta para sua pergunta é provavelmente "Não, apenas essas dezenas de milhões são afetadas". mas não sei ao certo, para não escrever uma resposta.
Stig Hemmer
11
Qualquer telefone que execute o Android 4.2 (JellyBean) ou posterior terá o App Verify do Google instalado. Está ativado por padrão e detectará essas vulnerabilidades em qualquer aplicativo instalado, desde que o Google Play Services esteja instalado no telefone. Portanto, quase 900 milhões de dispositivos são afetados, pois a versão 4.2 ou superior está presente em cerca de 80% de todos os dispositivos Android. Somente aqueles com versões mais antigas do Android ou telefones Android baratos que não licenciam o Google Play Services serão afetados.
ehambright
11
@ehambright No entanto, a maioria, se não todos os telefones vendidos na China, baratos ou não, fabricados na China ou não, têm 4.2+ ou não, não são carregados com GAPPS / PlayServices. Eles representam uma parcela significativa das vendas do Android (embora não necessariamente 900 milhões). Acrescente o fato de que nós, chineses, usamos exclusivamente mercados alternativos e temos um problema pelo menos para nós mesmos.
Andy Yan

Respostas:

59

O que é o QuadRooter?

Quadrooter é um nome para um conjunto de vulnerabilidades de segurança, incluindo

Esses são pontos fracos no software do sistema Linux / Android fornecido pelo fabricante do chipset Qualcomm.

Eles podem ser explorados por um aplicativo que você baixa, mesmo que não exija privilégios especiais. Esse aplicativo pode explorar essas vulnerabilidades para obter um controle mais alto do seu telefone, incluindo o acesso a quaisquer dados privados armazenados nele.

O Banco de Dados Nacional de Vulnerabilidades dos EUA fornece a seguinte descrição para as vulnerabilidades listadas acima

2059

A função msm_ipc_router_bind_control_port em net / ipc_router / ipc_router_core.c no módulo do kernel do roteador IPC para o kernel do Linux 3.x, conforme usado nas contribuições Android do Qualcomm Innovation Center (QuIC) para dispositivos MSM e outros produtos, não verifica se uma porta está uma porta do cliente, que permite que os invasores obtenham privilégios ou causem uma negação de serviço (condição de corrida e corrupção de lista), realizando muitas chamadas BIND_CONTROL_PORT ioctl.

2504

O driver da Qualcomm GPU no Android antes de 05/08/2016 nos dispositivos Nexus 5, 5X, 6, 6P e 7 (2013) permite que os invasores obtenham privilégios por meio de um aplicativo criado, conhecido como bug interno do Android 28026365 e bug interno da Qualcomm CR1002974.

2503

O driver da Qualcomm GPU no Android antes de 05/07/2016 em dispositivos Nexus 5X e 6P permite que os invasores obtenham privilégios por meio de um aplicativo criado, conhecido como bug interno do Android 28084795 e bug interno da Qualcomm CR1006067.

5340

A função is_ashmem_file em drivers / staging / android / ashmem.c em um determinado patch Android do Qualcomm Innovation Center (QuIC) para o kernel 3.x do Linux manipula incorretamente a validação de ponteiro no KGSL Linux Graphics Module, que permite que os invasores ignorem as restrições de acesso pretendidas usando a cadeia / ashmem como o nome do dentry.

Você pode baixar um aplicativo chamado " Quadrooter Scanner " na loja Google Play - ele informa se o seu telefone está vulnerável. O aplicativo foi escrito por Checkpoint Software Technologies Ltd . Eu instalei, executei e desinstalei. Fora isso, não sei dizer se é confiável de alguma forma.

A Qualcomm emitiu correções de software para os fabricantes

O Google abordou alguns deles em seus boletins de segurança em julho e agosto

Issue                                    CVE            Severity    Affects 
                                                                    Nexus?
Elevation of privilege vulnerability in  CVE-2016-2503,  Critical   Yes
Qualcomm GPU driver (Device specific)    CVE-2016-2067

...

Elevation of privilege vulnerability in  CVE-2016-2504,  Critical   Yes
Qualcomm GPU driver                      CVE-2016-3842

...

Elevation of privilege vulnerability in Qualcomm GPU driver

An elevation of privilege vulnerability in the Qualcomm GPU driver could 
enable a local malicious application to execute arbitrary code within the 
context of the kernel. This issue is rated as Critical due to the 
possibility of a local permanent device compromise, which may require 
reflashing the operating system to repair the device.

CVE References  Severity    Updated Nexus devices   Date reported
CVE-2016-2504    Critical   Nexus 5, Nexus 5X,      Apr 5, 2016
A-28026365                  Nexus 6, Nexus 6P, 
QC-CR#1002974               Nexus 7 (2013)

Suspeito que os proprietários de telefones vulneráveis ​​tenham várias opções, incluindo algumas ou todas

  • aguarde o fabricante fornecer uma atualização sem fio para corrigir isso.
  • não baixe nenhum aplicativo novo
  • impedir que os aplicativos sejam atualizados até que as vulnerabilidades sejam corrigidas
  • desinstalar todos os aplicativos supérfluos
  • desligue o telefone até que uma correção esteja pronta

Eu acho que muitas pessoas considerariam pelo menos o último item como um exagero.

900 milhões de dispositivos Android são vulneráveis?

As vendas mundiais de smartphones são da ordem de 1 bilhão a cada ano .

A Qualcomm é uma grande fabricante de circuitos integrados usados ​​em smartphones. Eles vendem uma variedade de CIs, incluindo a popular linha "Snapdragon" de CPUs baseadas em ARM. Suas receitas anuais são da ordem de US $ 25 bilhões.

De acordo com a Forbes

De acordo com a ABI Research, a Qualcomm, fabricante líder de chipsets, permaneceu líder em chipsets de banda base LTE em 2015. A empresa detinha 65% do mercado de chipsets de banda base LTE no ano.

Pode haver 2 bilhões de smartphones em uso em 2016 . Obviamente, muitos desses serão dispositivos IOS. Ainda pode haver um ou dois usuários de Windows phone por aí :-).

A vida útil média de um smartphone pode ser de dois anos ou quatro anos . Certamente existe um mercado em smartphones de segunda mão. Parece plausível que muitos smartphones com mais de um ano ainda estejam em uso.

Claro, existem dispositivos Android que não são smartphones. O Google estima que existam 1,4 bilhões de dispositivos Android ativos em todo o mundo . 65% dos 1,4 bilhões são 910 milhões. Talvez seja assim que os jornalistas chegaram a esse número. Nesse caso, não é de todo preciso.

No entanto, supondo que os drivers vulneráveis ​​existam por vários anos, parece plausível que centenas de milhões de dispositivos possam ser afetados. 900 milhões parecem ser o extremo superior das estimativas possíveis.

Relacionado

RedGrittyBrick
fonte
Portanto, um kernel personalizado pode ou não ser suficiente para corrigir esta vulnerabilidade?
Vendedor da máscara de morte
7
Eu estou querendo saber se a ferramenta de scanner pode ser confiável para fazer mais nada com as informações que encontrar ...
John Dvorak
@JanDvorak: É pelo menos lhe dá uma opção para compartilhar os resultados da verificação ou não
beeshyams
10
@beeshyams Qual é a desculpa perfeita para permitir que o usuário habilite o acesso à rede para você, para que você possa enviar os dados pessoais aos quais acabou de obter acesso.
Dmitry Grigoryev
3
como sempre, parece que a resposta é: suponha que seu telefone já esteja hackeado e não armazene dados confidenciais nem permita que ele acesse dados confidenciais. Estas falhas (e falta de atualizações de segurança) smartphones transformar em brinquedos, embora isso parece ser tudo o que eles são usados para qualquer maneira :-)
gbjbaanb
2

Mais sobre Quadrooter

Falha no Linux que seqüestra tráfego afeta 80% dos dispositivos Android - incluindo Nougat - extrações

Embora exista um grande número de smartphones e tablets em risco, o Lookout diz que a falha é difícil de explorar, mitigando um pouco os riscos:

  • A vulnerabilidade permite que um invasor espie remotamente pessoas que estão usando tráfego não criptografado ou degrade conexões criptografadas. Embora um homem no ataque do meio não seja necessário aqui, o invasor ainda precisa saber um endereço IP de origem e de destino para executar o ataque com sucesso.

    • Podemos estimar que todas as versões do Android que executam o Linux Kernel 3.6 (aproximadamente Android 4.4 KitKat) até a mais recente são vulneráveis ​​a esse ataque ou 79,9% do ecossistema do Android.

    • Descobrimos que o patch para o kernel Linux foi criado em 11 de julho de 2016. No entanto, ao verificar a última versão do desenvolvedor do Android Nougat, não parece que o Kernel está corrigido contra essa falha. Provavelmente, o patch não estava disponível antes da atualização mais recente do Android.

(Ênfase fornecida)

Para corrigir essa vulnerabilidade, os dispositivos Android precisam ter seu kernel Linux atualizado. Felizmente, existem alguns remédios que um usuário pode fazer até o lançamento do patch:

  • Criptografe suas comunicações para impedir que sejam espionadas. Isso significa garantir que os sites pelos quais você navega e os aplicativos que você usa estejam empregando HTTPS com TLS. Você também pode usar uma VPN se desejar adicionar uma etapa extra de precaução.

  • Se você possui um dispositivo Android com raiz, pode dificultar esse ataque usando a ferramenta sysctl e alterando o valor de net.ipv4.tcp_challenge_ack_limit para algo muito grande, por exemplo, net.ipv4.tcp_challenge_ack_limit = 999999999

Os golpistas colocam um aplicativo falso de patch de segurança para Android no Google Play - extratos

Os golpistas colocam um aplicativo falso de patch de segurança para Android no Google Play para infectar smartphones.

O patch falso, empacotado como um aplicativo, ficou brevemente disponível no Google Play e pretendia corrigir os chamados erros do QuadRooter que foram revelados pela empresa de segurança Check Point na semana passada.

De acordo com a empresa de segurança ESET, o Google agora retirou os dois aplicativos ofensivos do Google Play. Ambos foram chamados de "Fix Patch QuadRooter" de um editor Kiwiapps Ltd.

Pesquisadores da ESET disseram que é a primeira vez que patches falsos de segurança do Android são usados ​​para atrair vítimas em potencial

beeshyams
fonte
Quais outros recursos do Android (se houver) são afetados ao aumentar o net.ipv4.tcp_challenge_ack_limit para algo muito grande ? Inibirá ou reduzirá qualquer coisa líquida? (Eu não sei é por isso que eu estou pedindo)
HasH_BrowN
@HasH_BrowN desculpe, eu não tenho idéia
beeshyams