У хакера есть 736 миллисекунд. Критическая ошибка в Samsung позволяет украсть данные, пока смартфон «мерзнет»

ZeroBoot уязвимость Samsung Galaxy A25 обход шифрования FBE физический доступ
У хакера есть 736 миллисекунд. Критическая ошибка в Samsung позволяет украсть данные, пока смартфон «мерзнет»
ZeroBoot уязвимость Samsung Galaxy A25 обход шифрования FBE физический доступ

Samsung говорит, что во всем виноват Magisk. Спойлер: кажется, нет.

image

Исследователь под псевдонимом Vulndisclosure сообщил об уязвимости ZeroBoot, которая позволяет обойти файловое шифрование (FBE) на смартфоне Samsung Galaxy A25 5G и получить доступ к данным без ввода пароля. По оценке автора отчёта, проблема связана с гонкой состояний в процессе загрузки устройства и оценивается в 8.2 балла по шкале CVSS, что соответствует высокому уровню опасности.

Суть бага в том, что при определённых условиях запуска устройства возникает короткое окно длительностью около 736 мс, когда разные компоненты системы оказываются рассинхронизированы. Экран блокировки ещё не отобразился, а сервисы MTP (передача файлов по USB) и ADB (отладка по USB) уже активны и предоставляют доступ к расшифрованным файлам без ввода пароля. Причина в том, что интерфейс блокировки, политики шифрования и служба защиты Keyguard инициализируются параллельно, но завершают загрузку в разное время.

Эксплуатация уязвимости возможна только при физическом доступе к смартфону и при соблюдении ряда условий. По словам исследователя, добиться успешного PoC получалось тогда, когда температура устройства была около 5 °C, аккумулятор был полностью разряжен (устройство перешло в состояние автоматического отключения), после выключения выдерживалась пауза около 16 секунд, смартфон подключался к зарядке с током около 1000 мА, а оперативная память была загружена в диапазоне от 3.7 до 3.8 ГБ. В таких условиях, по его оценке, атака срабатывала примерно в 87% случаев.

В рамках демонстрации ZeroBoot исследователь показал, что за эти 736 мс можно скопировать файлы пользователя, выполнить системные команды без ввода пароля, а затем установить бэкдор или изменить настройки для сохранения постоянного доступа к устройству. По мнению автора, уязвимость особенно опасна для корпоративного сектора и при проведении криминалистических экспертиз: атака позволяет обойти защиту, которая по замыслу должна работать до тех пор, пока владелец не введёт пароль.

Автор отчёта также раскритиковал реакцию производителя. По его словам, вендор попытался списать проблему на наличие Magisk, хотя этот инструмент загружается уже после ядра и не затрагивает уязвимый участок цепочки загрузки. Кроме того, в переписке, опубликованной исследователем, Samsung якобы рекомендовала использовать сторонний сайт для загрузки прошивки и предлагала провести проверку на более старой версии Android, несмотря на то что устройство защищено механизмом защиты от отката версии.

В качестве мер защиты исследователь предлагает синхронизировать работу компонентов, отвечающих за инициализацию SystemUI, проверку состояния шифрования и экрана блокировки, а также добавить дополнительные проверки температурных и энергетических аномалий при загрузке. Изначально автор планировал не раскрывать детали уязвимости до выпуска официального исправления, однако в итоге опубликовал полный отчёт с доказательствами на GitHub.