Exploit-ul care afectează toate telefoanele Android

Cred că nu mulți știu că zilele trecute a fost descoperită o vulnerabilitate importantă în kernel-ul Linux care afectează toate versiunile din ultimii 10 ani, precum și toate device-urile Android care rulează acest sistem de operare.

Această vulerabilitate permite unui utilizator normal să execute un program special (exploit) prin care poate obține privilegiul de a scrie în orice fișier din sistem.

Problematic este că toate device-urile Android (telefoane, televizoare, furculițe) au la bază sistemul de operare Linux, ceea ce înseamnă că toate aceste device-uri sunt teoretic afectate de această vulnerabilitate (bineînțeles, telefoanele fiind cele mai expuse).

Trist, dar și mai trist este că orice aplicație care rulează pe telefon poate obține privilegii de super-administrator (adică practic acces nelimitat la orice fișier din telefon) fără măcar să poată fi oprit.

Ce poți face:

  • Evită instalarea oricărei aplicații!
  • Caută un antivirus care să detecteze semnătura unui astfel de exploit (din păcate momentan nu am găsit niciunul)
  • Aplică imediat patch-ul pe toate server-ele, device-urile și furculițele din casă
  • Urmărește update-uri de la carrier pentru telefonul tău (să sperăm că Samsung nu va aștepta 6 luni pentru acest patch).
  • Evită conectarea USB la laptop-uri necunoscute / bănuite că au viruși, există teoretic posibilitatea ca un virus să preia controlul telefonului (prin ADB - Android Debug Bridge).

The long story

Termenul Dirty COW provine de la funcționalitate copy-on-write a kernel-ului în accesarea memoriei RAM a sistemului, iar vulnerabilitatea se referă la un bug existent în kernel referitor la această funcționalitate. Bug-ul a fost introdus în versiunea 2.6.22 încercând să fixeze alt bug. Practic o aplicație poate să se folosească de acest bug pentru a avea acces la zone din memorie în care în mod normal nu are datorită protecției oferite de același kernel. Sistemul nu va detecta acest acces ilegal (deci nu va fi nici măcar logat undeva), iar aplicația practic poate obține privilegii de root.

Exploit-ul este deja public pe Internet (https://github.com/dirtycow/dirtycow.github.io) și probabil că va fi imediat preluat de "biefăcători" pentru a le include în aplicațiile distribuite pe Internet și a exploata cel mai probabil telefoanele.

Există deja un filmuleț în care se demonstrează cum a fost spart un device Android, iată-l

E nasol!

Acest avertisment trebuie luat în serios. Spărgându-ți telefonul, un hacker poate face multe lucruri, fără ca măcar să realizezi (fără a inspecta traficul pe telefon). Îți poate fura datele private (carduri bancare, parole, contacte etc.), îți poate face telefonul parte dintr-un botnet și ataca diferite site-uri de Internet așa cum s-a întâmplat săptămâna trecută etc.

Rămâne un mare gust amar și câteva întrebări importante:

  • câte astfel de vulnerabilități există deja nedocumentate? Cum ar fi Pegasus pentru IOS anul ăsta ...
  • câte device-uri sunt deja afectate, sparte de NSA sau de NSO Group (care cere cam 650.000 $ să spargă 10 telefoane)
  • merită riscul să faci Internet Banking pe telefon?