Jann Horn, Especialista en Proyecto Cero de Google, estudió el kernel de Android, suministrado por Samsung con sus teléfonos Galaxy A50, y afirmó que los mecanismos de seguridad agregados por los ingenieros de Samsung al kernel no solo carecen de protección total, sino que también crea vectores adicionales para ataques. Según Horne, Samsung modifica el kernel de Android, lo que sólo empeora la seguridad.
Horn señala que no comprobó el kernel en otros dispositivos Samsung, pero cree que las modificaciones específicas de este fabricante generalmente pueden crear vulnerabilidades y dificultar la lucha contra los ataques..
"Peor, esta práctica es común entre los fabricantes de teléfonos inteligentes: A menudo añaden algo controvertido al código del kernel de Linux., y los desarrolladores upstream no consideran ni pueden controlar estos cambios”, – estados Jann Horn.
En particular, El núcleo de Samsung incluye una función que protege los datos del usuario para que no sean leídos o modificados por atacantes.. Pero Horn descubrió que esta función no sólo no cumple con su tarea, pero también tiene vulnerabilidades que pueden usarse para ejecutar código arbitrario.
El problema afectó al subsistema de seguridad adicional de Samsung llamado PROCA o Process Authenticator.
El exploit PoC del investigador demuestra que un atacante puede obtener acceso a una base de datos de cuentas que contiene tokens de autenticación confidenciales..
La explotación de este problema también está relacionada con una antigua vulnerabilidad., un error de divulgación en el kernel de Linux, que tiene el identificador CVE-2018-17972. Este problema se solucionó hace mucho tiempo en el kernel de Linux y el kernel de Android., pero, como se vio despues, no en el kernel de Android, que Samsung usa para sus teléfonos.
"Los mecanismos de defensa de Samsung no brindan una protección completa contra intrusos que intentan piratear su teléfono, solo bloquean las herramientas raíz más simples que no están personalizadas para dispositivos Samsung. Creo que tales modificaciones no son su dinero., ya que dificultan el cambio a un nuevo kernel (lo que debería suceder con más frecuencia que ahora) y añadir espacio adicional para el ataque”, – escribe cuerno.
Señala que el mecanismo PROCA está diseñado para restringir a un atacante que, en realidad, ya ha obtenido permisos de lectura y escritura para el kernel. Según Horn, Samsung podría crear una defensa más eficaz dirigiendo sus recursos para que el atacante no obtenga dicho acceso en absoluto..
Los desarrolladores de Samsung ya han solucionado estas y otras vulnerabilidades (incluido CVE-2018-17972) como parte de la Actualización del martes de febrero.
Recordar; que los usuarios de Android también se ven amenazados por otro problema peligroso – El malware Xhelper continúa infectando dispositivos Android. Además, el Xhelper Trojan remains on the device even after deleting o restablecer completamente el dispositivo a la configuración de fábrica.