¿Qué es QuadRooter? ¿Son vulnerables 900 millones de dispositivos Android?

51

¿Qué es realmente QuadRooter y cómo funciona en dispositivos Android?

Actualmente está en las noticias que 900 millones de dispositivos Android son vulnerables:

Se han encontrado graves fallas de seguridad que podrían dar a los atacantes acceso completo a los datos de un teléfono en el software utilizado en decenas de millones de dispositivos Android.

Los investigadores de Checkpoint descubrieron los errores al analizar el software que se ejecuta en conjuntos de chips fabricados por la empresa estadounidense Qualcomm.

Los procesadores Qualcomm se encuentran en aproximadamente 900 millones de teléfonos Android, dijo la compañía.

El artículo también dice que es algo a nivel de chipset.

¿Es esto cierto?

¿Y cómo funciona esto internamente?

security stock-android Estoy aprendiendo
fuente
2
No puedo responder la pregunta, pero lea el artículo detenidamente para ver el juego de números deshonesto. "software utilizado en decenas de millones ... (sin relación) 900 millones" A la prensa le gustan los números grandes. Cuanto más grande, mejor. La respuesta a su pregunta es probablemente "No, solo esas decenas de millones están afectadas". pero no lo sé con certeza, así que no escribiré una respuesta.
Stig Hemmer
1
Cualquier teléfono con Android 4.2 (JellyBean) o posterior tendrá instalada la aplicación Google Verify. Esto está activado de forma predeterminada y detectará estas vulnerabilidades en cualquier aplicación instalada, siempre que los Servicios de Google Play estén instalados en el teléfono. Por lo tanto, no se ven afectados cerca de 900 millones de dispositivos, ya que 4.2 o superior se encuentra en aproximadamente el 80% de todos los dispositivos Android. Solo se verán afectados aquellos con versiones anteriores de Android o teléfonos Android baratos que no tengan licencia de Google Play Services.
ehambright
1
@ehambright Sin embargo, la mayoría, si no todos los teléfonos vendidos en China, ya sean baratos o no, fabricados en China o no, tienen 4.2 o más, no están cargados con GAPPS / PlayServices. Representan una parte significativa de las ventas de Android (aunque no necesariamente 900 millones). Agreguemos al hecho de que los chinos utilizamos mercados alternativos exclusivamente, y tenemos un problema al menos para nosotros mismos.
Andy Yan

Respuestas:

59

¿Qué es QuadRooter?

Quadrooter es un nombre para un conjunto de vulnerabilidades de seguridad que incluye

Estas son las debilidades en el software del sistema Linux / Android proporcionadas por el fabricante de chipsets Qualcomm.

Podrían ser explotados por una aplicación que descargue, incluso una que no solicite privilegios especiales. Dicha aplicación podría explotar estas vulnerabilidades para obtener un mayor nivel de control de su teléfono, incluido el acceso a los datos privados que haya almacenado en él.

La base de datos de vulnerabilidad nacional de EE. UU. Ofrece la siguiente descripción de las vulnerabilidades enumeradas anteriormente

2059

La función msm_ipc_router_bind_control_port en net / ipc_router / ipc_router_core.c en el módulo del kernel del enrutador IPC para el kernel 3.x de Linux, como se usa en las contribuciones de Android del Qualcomm Innovation Center (QuIC) para dispositivos MSM y otros productos, no verifica que un puerto sea un puerto de cliente, que permite a los atacantes obtener privilegios o causar una denegación de servicio (condición de carrera y corrupción de listas) al hacer muchas llamadas BIND_CONTROL_PORT ioctl.

2504

El controlador de GPU Qualcomm en Android antes del 2016-08-05 en dispositivos Nexus 5, 5X, 6, 6P y 7 (2013) permite a los atacantes obtener privilegios a través de una aplicación diseñada, también conocida como error interno 28026365 de Android y error interno Qualcomm CR1002974.

2503

El controlador de GPU Qualcomm en Android antes del 2016-07-05 en dispositivos Nexus 5X y 6P permite a los atacantes obtener privilegios a través de una aplicación diseñada, también conocida como error interno 28084795 de Android y error interno CR1006067 de Qualcomm.

5340

La función is_ashmem_file en drivers / staging / android / ashmem.c en un parche de Android de Qualcomm Innovation Center (QuIC) para el kernel 3.x de Linux maneja mal la validación del puntero dentro del módulo de gráficos KGSL Linux, que permite a los atacantes eludir las restricciones de acceso previstas por usando la cadena / ashmem como nombre dentry.

Puede descargar una aplicación llamada " Quadrooter Scanner " de la tienda Google Play; le dirá si su teléfono es vulnerable. La aplicación fue escrita por Checkpoint Software Technologies Ltd . Lo instalé, lo ejecuté y lo desinstalé. Aparte de eso, no puedo decir si es confiable de alguna manera.

Qualcomm ha emitido correcciones de software a los fabricantes

Google ha abordado un par de estos en sus boletines de seguridad de julio y agosto.

Issue                                    CVE            Severity    Affects 
                                                                    Nexus?
Elevation of privilege vulnerability in  CVE-2016-2503,  Critical   Yes
Qualcomm GPU driver (Device specific)    CVE-2016-2067

...

Elevation of privilege vulnerability in  CVE-2016-2504,  Critical   Yes
Qualcomm GPU driver                      CVE-2016-3842

...

Elevation of privilege vulnerability in Qualcomm GPU driver

An elevation of privilege vulnerability in the Qualcomm GPU driver could 
enable a local malicious application to execute arbitrary code within the 
context of the kernel. This issue is rated as Critical due to the 
possibility of a local permanent device compromise, which may require 
reflashing the operating system to repair the device.

CVE References  Severity    Updated Nexus devices   Date reported
CVE-2016-2504    Critical   Nexus 5, Nexus 5X,      Apr 5, 2016
A-28026365                  Nexus 6, Nexus 6P, 
QC-CR#1002974               Nexus 7 (2013)

Sospecho que los propietarios de teléfonos vulnerables tienen varias opciones, incluidas algunas o todas

  • espere a que el fabricante proporcione una actualización por aire para solucionar esto.
  • no descargue ninguna aplicación nueva
  • evitar que las aplicaciones se actualicen hasta que se solucionen las vulnerabilidades
  • desinstalar todas las aplicaciones superfluas
  • apague el teléfono hasta que esté seguro de que hay una solución lista

Supongo que muchas personas considerarían al menos el último elemento como exagerado.

¿Son vulnerables 900 millones de dispositivos Android?

Las ventas mundiales de teléfonos inteligentes son del orden de mil millones cada año .

Qualcomm es un importante fabricante de circuitos integrados utilizados en teléfonos inteligentes. Venden una variedad de circuitos integrados, incluida la popular gama "Snapdragon" de CPU basadas en ARM. Sus ingresos anuales son del orden de USD 25 mil millones.

Según Forbes

Según ABI Research, el fabricante líder de conjuntos de chips Qualcomm siguió siendo líder en los conjuntos de chips de banda base LTE en 2015. La compañía tenía el 65% del mercado de conjuntos de chips de banda base LTE en el año.

Puede haber 2 mil millones de teléfonos inteligentes en uso en 2016 . Por supuesto, muchos de estos serán dispositivos iOS. Todavía puede haber uno o dos usuarios de teléfonos con Windows :-).

La vida útil promedio de un teléfono inteligente puede ser de dos años o de cuatro años . Ciertamente hay un mercado de teléfonos inteligentes de segunda mano. Parece plausible que muchos teléfonos inteligentes de más de un año todavía estén en uso.

Por supuesto, hay dispositivos Android que no son teléfonos inteligentes. Google estima que hay 1.400 millones de dispositivos Android activos en todo el mundo . El 65% de 1.4 billones es 910 millones. Esta podría ser la forma en que los periodistas llegaron a esta cifra. Si es así, no es del todo exacto.

Sin embargo, suponiendo que los controladores vulnerables hayan existido durante varios años, parece plausible que cientos de millones de dispositivos puedan verse afectados. 900 millones parece ser el extremo superior de las posibles estimaciones.

Relacionado

RedGrittyBrick
fuente
Entonces, ¿un kernel personalizado puede o no ser suficiente para parchear esta vulnerabilidad?
Vendedor de Máscaras de la Muerte
77
Me pregunto si se puede confiar en la herramienta del escáner para no hacer nada más con la información que encuentra ...
John Dvorak
@ JanDvorak: Al menos te da la opción de compartir los resultados del escaneo o no
beeshyams
10
@beeshyams, que es una excusa perfecta para que el usuario habilite el acceso a la red para usted, de modo que pueda enviar esos datos personales a los que acaba de acceder.
Dmitry Grigoryev
3
como siempre parece que la respuesta es: suponga que su teléfono ya está pirateado y no almacene datos confidenciales en él, ni permita que acceda a datos confidenciales. Estos defectos (y la falta de actualizaciones de seguridad) convierten a los teléfonos inteligentes en juguetes, aunque de todas formas parece ser para eso: -)
gbjbaanb
2

Más sobre Quadrooter

La falla de secuestro de tráfico de Linux afecta al 80% de los dispositivos Android, incluidos los extractos de turrón

Si bien hay una gran cantidad de teléfonos inteligentes y tabletas en riesgo, Lookout dice que la falla es difícil de explotar, lo que mitiga los riesgos:

  • La vulnerabilidad permite a un atacante espiar de forma remota a las personas que utilizan tráfico no cifrado o degradan las conexiones cifradas. Si bien no se requiere un hombre en el medio del ataque aquí, el atacante aún necesita saber una dirección IP de origen y destino para ejecutar con éxito el ataque.

    • Podemos estimar entonces que todas las versiones de Android que ejecutan Linux Kernel 3.6 (aproximadamente Android 4.4 KitKat) a la última son vulnerables a este ataque o al 79.9 por ciento del ecosistema de Android.

    • Descubrimos que el parche para el kernel de Linux fue creado el 11 de julio de 2016. Sin embargo, al verificar la última vista previa del desarrollador de Android Nougat, no parece que el Kernel esté parcheado contra esta falla. Esto es muy probable porque el parche no estaba disponible antes de la actualización de Android más reciente.

(Énfasis añadido)

Para parchear esta vulnerabilidad, los dispositivos Android deben actualizar su kernel de Linux. Afortunadamente, hay algunos remedios que un usuario puede hacer hasta que se lance el parche:

  • Cifre sus comunicaciones para evitar que sean espiadas. Esto significa asegurarse de que los sitios web a los que navega y las aplicaciones que utiliza emplean HTTPS con TLS. También puede usar una VPN si desea agregar un paso adicional de precaución.

  • Si tiene un dispositivo Android rooteado, puede hacer que este ataque sea más difícil utilizando la herramienta sysctl y cambiando el valor de net.ipv4.tcp_challenge_ack_limit a algo muy grande, por ejemplo, net.ipv4.tcp_challenge_ack_limit = 999999999

Los estafadores ponen una aplicación falsa de parche de seguridad de Android en Google Play - extractos

Los estafadores pusieron una aplicación falsa de parches de seguridad de Android en Google Play para infectar teléfonos inteligentes.

El parche falso, empaquetado como una aplicación, estuvo disponible brevemente en Google Play y supuestamente solucionó los llamados errores QuadRooter que fueron revelados por la firma de seguridad Check Point la semana pasada.

Según la firma de seguridad ESET, Google ahora ha retirado las dos aplicaciones ofensivas de Google Play. Ambos fueron llamados "Fix Patch QuadRooter" de un editor Kiwiapps Ltd.

Los investigadores de ESET dijeron que es la primera vez que se utilizan parches de seguridad de Android falsos para atraer a las víctimas potenciales

beeshyams
fuente
¿Qué otros recursos de Android (si los hay) se ven afectados al elevar net.ipv4.tcp_challenge_ack_limit a algo muy grande ? ¿Inhibirá o reducirá algo el lado neto? (No sé por eso lo pregunto)
HasH_BrowN
@HasH_BrowN lo siento, no tengo idea
beeshyams