Falha de elevação de privilégio local no Android afeta sete OEMs

Da Redação
01/02/2024

Uma exploração de prova de conceito (PoC) para uma falha que permite a elevação de privilégio local e afeta ao menos sete fabricantes de equipamentos (OEMs) baseados em Android agora está disponível publicamente no GitHub. No entanto, como a exploração requer acesso local, a sua divulgação será útil principalmente para os investigadores de segurança.

Os OEMs inicialmente afetados são a Asus (testado em Zenfone 9), Microsoft (Surface Duo 2), Nokia (G50), Nothing (Phone 2), Vivo (X90 Pro), Lenovo (Tab M10 Plus) e Fairphone (5). Os modelos se referem apenas à cobertura de teste, portanto, vários modelos, se não todos, desses sete OEMs são provavelmente vulneráveis ao CVE-2023-45779.

A falha foi descoberta pelo Red Team X da Meta no início de setembro de 2023 e foi abordada na atualização de segurança de dezembro de 2023 do Android sem revelar detalhes que um invasor poderia usar para explorá-la.

A vulnerabilidade existe devido à assinatura insegura de módulos Apex usando chaves de teste, o que permite que invasores enviem atualizações maliciosas para componentes da plataforma, levando à elevação de privilégios locais. Embora a vulnerabilidade não possa ser explorada remotamente, ela revela pontos fracos na documentação do Compatibility Test Suite (CTS) e do Android Open-Source Project (AOSP) que o Google planeja resolver na próxima versão do Android 15.

Os dispositivos que receberam o patch de segurança do Android nível 2023-12-05 são protegidos contra o CVE-2023-45779. 

Assinatura Apex insegura

Tom Hebb, da Meta, publicou um artigo explicando que o problema está na assinatura de módulos Apex usando chaves de teste disponíveis publicamente no AOSP. Os módulos Apex permitem que os OEMs enviem atualizações em componentes específicos do sistema sem emitir uma atualização completa over-the-air (OTA), tornando os pacotes de atualização mais enxutos e fáceis de testar e entregar aos usuários finais.

Essas atualizações podem dar aos invasores privilégios elevados no dispositivo, contornando os mecanismos de segurança existentes e resultando em comprometimento total.

Veja isso
Hackers usam aplicativos MSIX para infectar PCs Windows
Falhas de segurança afetam mais de 100 modelos de laptop Lenovo

Hebb diz que o motivo pelo qual vários OEMs não perceberam o problema de segurança é multifacetado, incluindo configurações padrão inseguras no AOSP, documentação inadequada e cobertura insuficiente do CTS, que não conseguiu detectar o uso de chaves de teste nas assinaturas Apex.

Os OEMs cujos modelos de dispositivos foram testados pelos analistas da Meta e foram confirmados como não vulneráveis ao CVE-2023-45779 graças ao uso de chaves privadas são Google (Pixel), Samsung (Galaxy S23), Xiaomi (Redmi Note 12), OPPO (Find X6 Pro), Sony (Xperia 1 V), Motorola (Razr 40 Ultra) e OnePlus (10T).

O Instituto Nacional de Padrões e Tecnologia (NIST), ligado ao Departamento de Comércio dos EUA, publicou um relatório sobre CVE-2023-45779. Para acessá-lo, clique aqui.

Compartilhar: