Exploitation of a Samsung Galaxy Note 10+ Zero-Click RCE Bug via MMS

May 06, 2020 21:49

Это в продолжение к моим предыдущим постам: 1 и 2. Есть вопросы про поиск людей и информации? :) Есть вопросы про "поимели"? :)

image Click to view

This video demonstrates the exploitation of a vulnerability in the custom Samsung Qmage image codec via MMS. The exploit proof-of-concept achieves remote code execution with no user interaction on a Samsung Galaxy Note 10 ( Read more... )

bugs, exploits, samsung, android

Leave a comment

Comments 40

int01h May 6 2020, 22:39:46 UTC
...и не только на самсе :)

Reply

scdm May 13 2020, 08:27:05 UTC
поясни

Reply

int01h May 13 2020, 17:22:50 UTC
в коде работы с бинарными смсками уже лет 8 есть одна бага, которую до сих пор не пофиксили. Ее эксплуатация, начиная с 6 версии значительно усложнилась, а начиная с 10 в принципе пока нет возможностей выпрыгнуть после rce, но тем не менее. Единственный известный мне способ затруднить полноценную эксплуатацию - убрать настройки на ммс сервер оператора. То есть, если нет необходимости отправлять такие сообщения, но и пропускать входящие не хочется, чтобы оставалась «нотификация» о входящем ммс, без прогрузки. В этом случае rce тоже сработает, но пейлоад не загрузит.

Reply


dmitrmax May 7 2020, 06:34:10 UTC
Однако процесс не быстрый - видео ускорено. Тем не менее можно делать ночью, пока человек спит.

У меня уже не Самсунг, но паршиво то, что скорее всего остальные ничем не лучше. MMS не настроено. Запретил бы и SMS, если бы можно было и не было бы одноразовых паролей в банках, которые в упор не хотят видеть иные средства OTP.

Reply

sporaw May 7 2020, 11:43:07 UTC
Да, банки со своим подходом к OTP задолбали. Причем более надежные способы для них еще и бесплатными были бы.

Reply

dmitrmax May 7 2020, 14:30:35 UTC
Однако был у меня в свое время в ВТБ24 хардварный генератор паролей с кардридером, который юзал крипту чипа на карте. И выдавали его мало того, что бесплатно, так ещё и в то время платный ИБ становился каким-то жутко дешевым типа 5 лет по цене 1 года обслуживания. Соответственно он умел не тупо выдавать пароль, а натуральный challenge-response делать, видимо, для отвязки от времени.

Ещё видел подобную штукенцию в одном прибалтийском банке. Правда там своя крипта на борту была, а не карточная.

Всё, остальные сели на коня опсосов. Тинькофф решил сэкономить в какой-то момент, добавив push, но с дефолтовыми настройками по энергосбережению, как я понял, это теперь всё равно не пашет )

Reply

sporaw May 7 2020, 14:42:21 UTC
Это какой-то из вариантов DigiPass'ов. Имеет смысл для юридических лиц и/или крупных счетов. Стоит денег. И для обычных частников, конечно же, не окупается совершенно. И прямо на порядки дороже SMS, конечно же.

Я говорил про более простые вещи, конечно же. Типа Google/MS Auth и проч.

Reply


anonymous May 8 2020, 10:04:58 UTC
В Петербурге хакерский дуэт наворовал топлива более чем на 2 млн рублей
https://www.fontanka.ru/2020/05/08/69247666/

Reply


johnconst May 9 2020, 19:17:31 UTC
Understanding The Intel CSME CVE-2019-0090 Vulnerability for Mere Mortals
https://medium.com/@abdelrahman.ibrahem/intel-me-vulnerability-for-mere-mortals-ffbf3bf727ef

про это писали ? Как-то относительно тихо эта уязвимость прошла, но если понять, то это означает неустранимую уязвимость сразу в нескольких поколениях процессоров Intel

Reply


scdm May 13 2020, 08:27:47 UTC
Самсунг добавил декомпрессор корейского формата картинок. С багами.

Какой вывод ты делаешь из этого ?

Reply

sporaw May 13 2020, 12:09:00 UTC
Это первый или второй по важности (по распространенности) (смотря как считать) телефон - вот такой я вывод делаю из этого.

Reply

scdm May 13 2020, 18:55:26 UTC
Я к тому уязвимость не в платформе, а из-за локальной самодеятельности какого-то вендора. (В случае эпла эти множества совпадают). Да, самсунга много, но в рамках платформы это меньше четверти устройств.

В декабре уязвимость нашли, запатчили, спустя 90 дней раскрыли. Ты увидел, волнуешься, пишешь псто.
В ноябре на pwn2own аналогичные нашли в S10, Xiaomi Mi9 (в пятёрке по числу аппаратов) и Apple (Safari). Ты тогда тоже волновался ?

А вообще лучший повод для волнений это публичные бюллетени Qualcomm. Вот где самая мякотка. Причём внутренние бюллетени выходят где-то за полгода (а то и раньше) до публичных. И к ним доступ имеют все партнёры Qualcomm. А это огромное количество линейных инженеров. Некоторые имеют доступ даже к багтрекеру. И сильно удивляются, сколько времени может висеть баг, прежде чем его соизволят закрыть и добавить в бюллетень.

ЗЫ: у остальных производителей SoC всё тоже самое, только инфы в паблике гораздо меньше.

Reply

sporaw May 13 2020, 19:16:02 UTC
> Я к тому уязвимость не в платформе, а из-за локальной самодеятельности какого-то вендора. (В случае эпла эти множества совпадают). Да, самсунга много, но в рамках платформы это меньше четверти устройств.

Я рассматриваю потенциальный риск для людей, попадающих в селективны таргетинг. Поэтому про "меньше четверти устройств" (хотя и это - просто огромное число) - считаю некорректной оценкой.

> В декабре уязвимость нашли, запатчили, спустя 90 дней раскрыли.

Ты здесь пропустил пункт между "нашли" и "запатчили" - "сообщили вендору". Вот тогда про "запатчили" будет справедливо.

> Ты увидел, волнуешься, пишешь псто.

Я бы не стал писать этот пост, если бы не ряд твоих замечаний в комментариях к нескольким мои предыдущим постам. Это же был просто частный пример под рукой, контекстный, для ответа.

> В ноябре на pwn2own аналогичные нашли в S10, Xiaomi Mi9 (в пятёрке по числу аппаратов) и Apple (Safari). Ты тогда тоже волновался ?

Я волнуюсь очень давно, но ты эти волнения назвал "дурачком в шапочке из фольги".

Reply


Leave a comment

Up