Google zegt bewijs te hebben dat een commerciële bewakingsleverancier misbruik maakte van drie zero-day-beveiligingskwetsbaarheden in nieuwere Samsung-smartphones. In het bijzonder betrof dit de Galaxy S10, A50 en A51. Dat zijn toestellen die enkele jaren geleden, in 2019 (S10 en A50) en 2020 (A51) op de markt kwamen, maar ook nu nog veel in gebruik zijn.
Root toegang tot kernel van Samsung toestellen
De kwetsbaarheden werden ontdekt in de op maat gemaakte software van Samsung. Ze werden samen gebruikt als onderdeel van een exploitketen om Samsung-telefoons met Android aan te vallen. De kwetsbaarheden stellen een aanvaller in staat om als root gebruiker lees- en schrijfrechten in de kernel te krijgen. Daarmee kunnen uiteindelijk de gegevens van een apparaat blootgelegd worden.
In een blogpost schrijft Google Project Zero-beveiligingsonderzoeker Maddie Stone dat de exploitketen zich richt op Samsung-telefoons met een Exynos processor en een specifieke kernelversie. Toestellen met een dergelijke Exynos processor worden met name in Europa, het Midden-Oosten en Afrika verkocht. Aangenomen wordt dat de doelwitten van de malafide gebruikers dan ook vooral in die regio’s wonen.
Malafide Android-app die niet in Google Play stond
De kwetsbaarheden werden uitgebuit door een kwaadaardige Android-app. Gebruikers werden volgens Stone mogelijk misleid om de betreffende app buiten de Google Play store om te installeren op hun toestel. Met die malafide app kunnen de hackers de app-sandbox omzeilen en toegang krijgen tot de rest van het besturingssysteem van het toestel.
“De eerste kwetsbaarheid in deze keten, het willekeurige bestand lezen en schrijven, was de basis van deze keten. De Java-componenten in Android-apparaten zijn meestal niet de meest populaire doelen voor beveiligingsonderzoekers, ondanks dat het op zo’n bevoorrecht niveau draait”, aldus Stone.
De populaire Galaxy A51 was een van de toestellen waar de kwetsbaarheden in gevonden – en opgelost – werden.