SMS może zawiesić starsze Samsungi Galaxy – winny protokół sprzed 17 lat

Pamiętacie protokół WAP? My już też nie pamiętamy, alboprzynajmniej udajemy, że nie pamiętamy. Ta namiastka mobilnegodostępu do sieci z przełomu wieków znalazła znów swojezastosowanie – tym razem jeszcze bardziej nieprzyjemne. Badacze zfirmy Contextis odkryli, że starsze modele Samsungów Galaxy (m.in.S4 i S5) można zdalnie zawiesić za pomocą jednego SMS-a,zawierającego uzłośliwioną konfigurację punktu dostępowego.

Coraz trudniej znaleźć błędy w Androidzie, które pozwoliłybyna jakiś spektakularny atak. Jednak połączenie błędów wprzemyślaną sekwencję może przynieść bardzo ciekawe wyniki. Takwłaśnie było w tym wypadku, gdzie mamy do czynienia z mającąponad 17 lat technologią, która może przekazywać dowolne dane,przetwarzane bez interakcji ze strony użytkownika, a opisane wliczącym 30 stron dokumencie – specyfikacjiWBXML.

Okazuje się, że wykorzystana tu technologia WAP Push pozwala przenieść teżdane po protokole Open Mobile Alliance Client Provisioning (OMA CP),który pozwala na zdalne zarządzanie i konfigurowanie urządzeń.Swego czasu wykorzystywali go operatorzy, by zdalnie skonfigurowaćkomórki włączane do ich sieci. W jaki sposób to robiono?Najprościej na świecie. Urządzenie otrzymywało SMS-a odoperatora. A co, jeśli SMS przyszedłby nie od operatora?

Nic takiego, dane są dalej przetwarzane. To wszystko przecieżhistorie z czasów, gdy nikt poważnie nie myślał obezpieczeństwie, nic nie wymagało uwierzytelnień. Wiadomość OMACP może zostać więc wysłana na telefon ofiary, nadpisując plikkonfiguracyjny default_ap.conf. Plik ten (zawierający ustawieniapunktu dostępowego) jest parsowany przez usługę systemowąodwołującą się do biblioteki libomapcp – i to w niej można zapomocą odpowiednio spreparowanych danych wywołać błądprzepełnienia bufora, a w konsekwencji zdalny atak Denial ofService.

Ze względu na proces rozruchowy Androida, atak ma fatalne skutki– telefon będzie się uruchamiał, w pewnym momencie się zawiesi,zrestartuje, uruchomi ponownie, zawiesi – launchera aplikacji jużnie zobaczymy. Jedynym sposobem na uratowanie urządzenia jestpodłączenie go przez Android Debug Brige do komputera i zdalneusunięcie pliku default_ap.conf, jednak jest to sposób dostępnytylko na zrootowanych urządzeniach. Niezrootowane telefony mogą byćuratowane jedynie przez kompletny reset (co wiąże się z utratądanych)… lub przesłanie na nie kolejnego SMS-a WAP Push zwiadomością OMA CP, zawierającego poprawną konfigurację.

Ta dziwna luka została odkryta w czerwcu zeszłego roku, Samsungpotwierdził jej występowanie, a w listopadzie po cichu wydałłatkę. Wszyscy posiadacze zaktualizowanych przez OTA wersjiAndroida powinni być bezpieczni. Co jednak z innymi producentami iinnymi urządzeniami? Trudno powiedzieć – wiadomo, że atak niedziała na Galaxy S6 i S7.

Szczegółowy opis tej ciekawej podatności znajdziecie nablogu firmy Contextis.