三星0day漏洞被用于監控活動

谷歌Project Zero研究人員發現有攻擊者利用三星手機多個0day漏洞用于監控活動。

近日，谷歌Project Zero研究人員披露了三個三星手機0 day漏洞被監控公司用于監控活動，漏洞CVE編號為CVE-2021-25337、CVE-2021-25369、CVE-2021-25370：

CVE-2021-25337：該漏洞為三星手機設備剪貼板服務訪問控制不當的問題，攻擊者利用該漏洞可以讓不可信的應用讀寫特定本地文件；

CVE-2021-25369：該漏洞為sec_log文件的訪問控制不當問題，會將敏感kernel信息暴露給用戶空間；

CVE-2021-25370：該漏洞是dpu驅動中處理文件描述符的錯誤實現導致的，會引發內存破壞最終導致影響kernel。

谷歌研究人員指出監控公司使用的監控軟件在利用這3個漏洞時漏洞尚未發布補丁，因此屬于0 day漏洞。

該漏洞利用鏈是一個典型的不同攻擊面的例子。漏洞利用鏈中的3個漏洞都位于設備廠商組件中，而非AOSP平臺或Linux kernel中。而且其中2個漏洞都是邏輯和設計漏洞，而非內存安全漏洞。

研究人員分析認為，漏洞利用樣本攻擊的是運行kernel 4.14.113（Exynos SOC）的三星手機。而使用這種SOC的手機主要在歐洲和非洲銷售。漏洞利用依賴的Mail GPU驅動和DPU驅動，都是針對基于Exynos的三星手機。

受影響的三星手機包括S10、A50、A51等。谷歌稱這3個漏洞已于2021年3月被三星修復。

谷歌在安全公告中并未指出利用這3個三星手機漏洞進行監控的廠商名，但強調與其他攻擊意大利和哈薩克斯坦安卓用戶的攻擊活動有相似之處。

由于三星在發布漏洞補丁時未說明漏洞利用的情況，因此建議使用相關設備的用戶盡快檢查是否安裝補丁。