Volgens een blogpost van Google Project Zero (via TechCrunch), werd een drietal zero-day-kwetsbaarheden in sommige nieuwere Samsung Galaxy-telefoons uitgebuit door een commerciële bewakingsleverancier. Deze bedrijven kunnen telecom-of technologiebedrijven zijn die hun klanten volgen om geld te verdienen met persoonlijke gegevens door aangepaste advertenties te sturen. Of het kan onheilspellender zijn (meer hierover hieronder).
Bepaalde Samsung Galaxy-handsets die de inlandse Exynos-chipset gebruiken, hadden deze kwetsbaarheden
Volgens de Federaal Trade Commission houden dergelijke bedrijven zich bezig met het”verzamelen, aggregeren, analyseren, bewaren, overdragen of genereren van inkomsten van consumentengegevens en de directe afgeleiden van die informatie.”En naast het schaden van consumenten met deze acties, wil de FTC informatie verzamelen waaruit blijkt dat deze acties leiden tot psychische schade, reputatieschade en ongewenste inbreuken die plaatsvinden bij het verzamelen van deze persoonlijke gegevens.
Een van de gebruikte telefoons was de Samsung Galaxy S10
Maar deze specifieke situatie kan ernstiger zijn. Hoewel Google geen specifieke leverancier van commerciële bewaking noemde, zei het dat het patroon lijkt op een eerdere exploitatie die”krachtige spyware voor nationale staten”leverde via een kwaadaardige Android-app. De kwetsbaarheden die in de op maat gemaakte software van Samsung werden gevonden, maakten deel uit van een exploitketen waarmee de aanvaller lees-en schrijfrechten voor de kernel kon verkrijgen die uiteindelijk persoonlijke gegevens op de telefoon zouden kunnen onthullen.
De exploit is gericht op Samsung Galaxy-handsets die worden aangedreven door een Exynos SoC met kernel 4.14.113. Telefoons die aan die beschrijving voldoen, zijn de Samsung Galaxy S10, Galaxy A50 en de Galaxy A51. Versies van die telefoons die in de VS en China worden verkocht, zijn uitgerust met een Qualcomm Snapdragon-chipset, terwijl in de meeste andere continenten, zoals Europa en Afrika, de Exynos SoC wordt gebruikt. Google zegt dat de exploit”afhankelijk is van zowel het Mali GPU-stuurprogramma als het DPU-stuurprogramma, die specifiek zijn voor de Exynos Samsung-telefoons.”De problemen zouden beginnen wanneer een gebruiker werd misleid om een app op zijn telefoon te sideloaden. Sideloading betekent in dit geval het downloaden van een app van een Android-app store van derden die niet de Google Play Store is. Google rapporteerde aan Samsung over de kwetsbaarheden in 2020 en hoewel Sammy in maart 2021 een patch uitzond, verzuimde het bedrijf te vermelden dat de kwetsbaarheden actief werden uitgebuit.
Maddie Stone van Google, die de blogpost schreef, zegt:”De analyse van deze exploitketen heeft ons nieuwe en belangrijke inzichten opgeleverd in hoe aanvallers zich op Android-apparaten richten. Stone wees er ook op dat met meer onderzoek nieuwe kwetsbaarheden zouden kunnen worden ontdekt in aangepaste software die op Android-apparaten wordt gebruikt door telefoonfabrikanten zoals Samsung. Stone voegde toe:”Het benadrukt de behoefte aan meer onderzoek naar fabrikantspecifieke componenten. Het laat zien waar we verdere variantanalyse zouden moeten doen.”
Gebruik het opmerkingengedeelte in de Play Store of een Android-app store van derden om te zoeken naar rode vlaggen
In de toekomst heeft Samsung ermee ingestemd om te onthullen wanneer zijn kwetsbaarheden actief worden misbruikt door Apple en Google aan te sluiten. De laatste twee fabrikanten waarschuwen gebruikers al wanneer een dergelijke gebeurtenis plaatsvindt.In juni vertelden we u over spyware genaamd Hermit die door regeringen werd gebruikt voor slachtoffers die het doelwit waren in Italië en Kazachstan. Net als bij het beveiligingsprobleem dat werd aangetroffen op de drie door Exynos aangedreven Galaxy-telefoons, vereiste Hermit dat een gebruiker een schadelijke app sideloadde. Uiteindelijk zou deze malware de contacten, locatiegegevens, foto’s, video’s en audio-opnamen van de handset van het slachtoffer.Een snelle en vuile regel die tegenwoordig misschien nog steeds werkt, is om de opmerkingensectie goed te bekijken voordat je een app installeert van een ontwikkelaar waar je nog nooit van hebt gehoord. vlaggen verschijnen, ren snel weg van die app-lijst en kijk nooit meer terug. Een ander goed advies is om geen app te sideloaden. Ja, op de een of andere manier komen apps met malware op de een of andere manier te vaak door de Google Play-beveiliging, maar je loopt waarschijnlijk nog minder kans om’geïnfecteerd’te worden door je te houden aan het laden van apps uit de Play Store.