Cabecera-v2-web.jpg

Vulnerabilidades que permiten tomar el control de móviles Samsung


Investigadores de la compañí­a israelí­ Viral Security Group han anunciado un grupo de tres vulnerabilidades en el sistema Knox de Samsung que podrí­an permitir a un atacante tomar el control total de smartphones Galaxy S6 y Note 5.

En esta ocasión las vulnerabilidades han quedado bautizadas bajo el nombre de KNOXout. Aunque con un CVE único (CVE-2016-6584) se engloban las tres vulnerabilidades descubiertas en Samsung KNOX. Todas pueden permitir la escalada de privilegios y fueron reportadas a la firma de forma responsable.

Samsung KNOX es el nombre empleado por Samsung para ofrecer una colección de caracterí­sticas de seguridad implementadas en sus dispositivos Android. Algunos de los módulos son de cara al usuario (como la aplicación My KNOX), mientras que otros realizan su función en segundo plano.

Es en uno de los módulos en segundo plano donde los investigadores han encontrado los problemas. Concretamente en el TIMA RKP (Real-time Kernel Protection), responsable de la defensa del sistema en caso de un exploit exitoso del kernel.

Los investigadores han publicado un completo documento en el que explican como un exploit estándar para conseguir root ataca el kernel y explora los mecanismos de protección del módulo RKP que protege ante este tipo de exploits. Tras ello evitan las protecciones y consiguen ejecutar código con permisos del sistema. Un acceso a la cuenta del sistema permite al atacante tomar el control del dispositivo y realizar cualquier acción sin conocimiento del usuario.

El equipo de Viral Security Group profundiza en el módulo RKP, para identificar las pruebas especí­ficas realizadas para evitar la escalada de privilegios. Y aprovechan este conocimiento para evitar el módulo RKP y conseguir privilegios de root. Además, desactivan las protecciones adicionales del kernel y consiguen cargar un módulo kernel personalizado, sin firmar, con el fin de volver a montar la partición /system con permisos de escritura.


Como prerequisite para atacar el módulo RKP es necesario una vulnerabilidad "write-what-where" del kernel (una vulnerabilidad que puede permitir escribir un valor arbitrario en cualquier dirección). Para ello se puede emplear cualquier vulnerabilidad, pero los investigadores han empleado la vulnerabilidad CVE-2015-1805, explotable en algunos de los más nuevos dispositivos Samsung (como los Galaxy S6 y Galaxy Note 5), y cuenta con un exploit open-source implementado conocido como iovyroot2.


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11