Erros perigosos de 0 dias do telefone Android revelados - corrija ou contorne-os agora!

Erros perigosos de 0 dias do telefone Android revelados - corrija ou contorne-os agora!

Registro de data e hora: 17 de março de 2023, 1:56
Nó Fonte: 2016229
by Paul Ducklin

O Google acaba de revelar quatro aspectos críticos bugs de dia zero afetando uma ampla gama de telefones Android, incluindo alguns de seus próprios modelos Pixel.

Esses bugs são um pouco diferentes das vulnerabilidades normais do Android, que normalmente afetam o sistema operacional Android (que é baseado em Linux) ou os aplicativos que o acompanham, como Google Play, Mensagens ou o navegador Chrome.

Os quatro bugs de que estamos falando aqui são conhecidos como vulnerabilidades de banda base, o que significa que eles existem no firmware especial de rede do telefone móvel que é executado no chamado chip de banda base do telefone.

Estritamente falando, baseband é um termo usado para descrever as partes primárias ou de frequência mais baixa de um sinal de rádio individual, em contraste com um sinal de banda larga, que (muito vagamente) consiste em vários sinais de banda base ajustados em várias faixas de frequência adjacentes e transmitidos ao mesmo tempo em para aumentar as taxas de dados, reduzir a interferência, compartilhar o espectro de frequência mais amplamente, complicar a vigilância ou todos os itens acima. A palavra baseband também é usado metaforicamente para descrever o chip de hardware e o firmware associado que é usado para lidar com o envio e recebimento de sinais de rádio em dispositivos que podem se comunicar sem fio. (Um pouco confusa, a palavra baseband normalmente se refere ao subsistema em um telefone que lida com a conexão com a rede de telefonia móvel, mas não com os chips e software que lidam com conexões Wi-Fi ou Bluetooth.)

O modem do seu celular

Os chips de banda base normalmente operam independentemente das partes “não telefônicas” do seu telefone celular.

Eles basicamente executam um sistema operacional em miniatura próprio, em um processador próprio, e trabalham junto com o sistema operacional principal do seu dispositivo para fornecer conectividade de rede móvel para fazer e atender chamadas, enviar e receber dados, roaming na rede e assim por diante .

Se você tem idade para usar a internet discada, deve se lembrar que precisou comprar um modem (abreviação de modulador-e-demodulador), que você conectou em uma porta serial na parte traseira do seu PC ou em um slot de expansão dentro dele; o modem se conectaria à rede telefônica e seu PC se conectaria ao modem.

Bem, o hardware e software de banda base do seu celular é, muito simplesmente, um modem integrado, geralmente implementado como um subcomponente do que é conhecido como SoC do telefone, abreviação de sistema no chip.

(Você pode pensar em um SoC como uma espécie de “circuito integrado integrado”, onde componentes eletrônicos separados que costumavam ser interconectados montando-os próximos a uma placa-mãe foram integrados ainda mais, combinando-os em um único pacote de chip.)

Na verdade, você ainda verá processadores de banda base chamados de modems de banda base, porque eles ainda lidam com o negócio de modular e demodular o envio e recebimento de dados de e para a rede.

Como você pode imaginar, isso significa que seu dispositivo móvel não está apenas sob risco de cibercriminosos por meio de bugs no sistema operacional principal ou em um dos aplicativos que você usa…

…mas também corre o risco de vulnerabilidades de segurança no subsistema de banda base.

Às vezes, as falhas de banda base permitem que um invasor não apenas invada o próprio modem da Internet ou da rede telefônica, mas também invada o sistema operacional principal (movendo-se lateralmenteou girando, como o jargão chama) do modem.

Mas mesmo que os bandidos não consigam passar do modem e entrar em seus aplicativos, eles podem certamente causar uma enorme quantidade de danos cibernéticos apenas implantando malware na banda base, como farejar ou desviar seus dados de rede, bisbilhotar seu mensagens de texto, rastreamento de suas chamadas telefônicas e muito mais.

Pior ainda, você não pode apenas olhar para o número da versão do seu Android ou os números da versão de seus aplicativos para verificar se está vulnerável ou corrigido, porque o hardware de banda base que você possui, o firmware e os patches necessários para isso, dependem do seu dispositivo físico, não do sistema operacional que você está executando nele.

Mesmo os dispositivos que são “o mesmo” em todos os aspectos óbvios – vendidos sob a mesma marca, usando o mesmo nome de produto, com o mesmo número de modelo e aparência externa – podem ter chips de banda base diferentes, dependendo de qual fábrica os montou ou em qual mercado eles foram vendidos.

Os novos dias zero

Os bugs descobertos recentemente pelo Google são descritos a seguir:

[Número do bug] CVE-2023-24033 (e três outras vulnerabilidades que ainda não foram atribuídas identidades CVE) permitiu a execução remota de código da Internet para a banda base. Testes conduzidos pelo [Google] Project Zero confirmam que essas quatro vulnerabilidades permitem que um invasor comprometa remotamente um telefone no nível de banda base sem interação do usuário e exige apenas que o invasor saiba o número de telefone da vítima.

Com pesquisa e desenvolvimento adicionais limitados, acreditamos que invasores qualificados seriam capazes de criar rapidamente uma exploração operacional para comprometer os dispositivos afetados de forma silenciosa e remota.

Em linguagem simples, uma falha na execução remota de código da Internet para a banda base significa que os criminosos podem injetar malware ou spyware pela Internet na parte do seu telefone que envia e recebe dados da rede…

…sem colocar as mãos em seu dispositivo real, atraindo você para um site desonesto, persuadindo você a instalar um aplicativo duvidoso, esperando que você clique no botão errado em um aviso pop-up, se denunciando com uma notificação suspeita ou enganando você de outra forma.

18 bugs, quatro mantidos semi-secretos

Houve 18 bugs neste último lote, relatados pelo Google no final de 2022 e início de 2023.

O Google diz que está divulgando sua existência agora porque o tempo acordado já passou desde que foram divulgados (o prazo do Google geralmente é de 90 dias, ou próximo disso), mas para os quatro bugs acima, a empresa não está divulgando nenhum detalhe, observando que :

Devido a uma combinação muito rara de nível de acesso que essas vulnerabilidades fornecem e à velocidade com que acreditamos que uma exploração operacional confiável pode ser criada, decidimos fazer uma exceção de política para atrasar a divulgação das quatro vulnerabilidades que permitem a conexão de Internet para execução de código remoto de banda base

Em inglês simples: se disséssemos a você como esses bugs funcionam, tornaríamos muito fácil para os cibercriminosos começarem a fazer coisas realmente ruins para muitas pessoas, implantando malware sorrateiramente em seus telefones.

Em outras palavras, até mesmo o Google, que gerou polêmica no passado por se recusar a estender seus prazos de divulgação e por publicar abertamente o código de prova de conceito para zero-days ainda não corrigidos, decidiu seguir o espírito de seu Projeto Zero responsável processo de divulgação, em vez de ater-se à letra.

O argumento do Google para geralmente aderir à letra e não ao espírito de suas regras de divulgação não é totalmente irracional. Ao usar um algoritmo inflexível para decidir quando revelar detalhes de bugs não corrigidos, mesmo que esses detalhes possam ser usados ​​para o mal, a empresa argumenta que reclamações de favoritismo e subjetividade podem ser evitadas, como: “Por que a empresa X ganhou três extras semanas para corrigir o bug, enquanto a empresa Y não o fez?”

O que fazer?

O problema com os bugs anunciados, mas não totalmente divulgados, é que é difícil responder às perguntas: “Fui afetado? E se sim, o que devo fazer?”

Aparentemente, a pesquisa do Google se concentrou em dispositivos que usavam um componente de modem de banda base da marca Samsung Exynos, mas isso não significa necessariamente que o sistema no chip se identificaria ou se marcaria como um Exynos.

Por exemplo, os dispositivos Pixel recentes do Google usam o próprio sistema em chip do Google, com a marca tensor, mas tanto o Pixel 6 quanto o Pixel 7 são vulneráveis ​​a esses bugs de banda base ainda semisecretos.

Como resultado, não podemos fornecer uma lista definitiva de dispositivos potencialmente afetados, mas os relatórios do Google (nossa ênfase):

Com base nas informações de sites públicos que mapeiam chipsets para dispositivos, os produtos afetados provavelmente incluem:

  • Dispositivos móveis de Samsung, incluindo aqueles no S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 e A04 Series;
  • Dispositivos móveis de Vivo, incluindo aqueles no S16, S15, S6, X70, X60 e X30 Series;
  • A 6 pixels e 7 pixels série de dispositivos de Google; e
  • todos os veículos que utilizam o Exynos Auto T5123 chipset.

O Google diz que o firmware de banda base no Pixel 6 e no Pixel 7 foi corrigido como parte das atualizações de segurança do Android de março de 2023, portanto, os usuários do Pixel devem garantir que tenham os patches mais recentes para seus dispositivos.

Para outros dispositivos, diferentes fornecedores podem levar diferentes períodos de tempo para enviar suas atualizações, portanto, verifique os detalhes com seu fornecedor ou operadora de celular.

Enquanto isso, esses bugs aparentemente podem ser evitados nas configurações do seu dispositivo, se você:

  • Desative as chamadas Wi-Fi.
  • Desative o Voice-over-LTE (VoLTE).

No Google palavras, “desativar essas configurações removerá o risco de exploração dessas vulnerabilidades.”

Se você não precisa ou usa esses recursos, pode desativá-los de qualquer maneira até saber com certeza qual chip de modem está em seu telefone e se ele precisa de uma atualização.

Afinal, mesmo que seu dispositivo seja invulnerável ou já corrigido, não há desvantagem em não ter coisas que você não precisa.

Em destaque imagem da Wikipédia, por usuário Köf3, debaixo de CC BY-SA 3.0 licença.

Carimbo de hora:

Mais de Segurança nua