Analyse d'une exploitation Android moderne dans le monde réel

En décembre 2022, le groupe d'analyse des menaces de Google a découvert une chaîne d'exploitation ciblant les appareils Android Samsung. La chaîne d'exploitation utilisait une vulnérabilité 0-day dans la couche de compatibilité ALSA, CVE-2023-0266, et une vulnérabilité 0-day dans le pilote GPU Mali, CVE-2023-2608. L'exploit impliquait une condition de course dans le pilote ALSA, ce qui permettait une technique de pulvérisation de tas en utilisant des fonctionnalités du pilote GPU Mali. Les attaquants ont utilisé la pulvérisation de tas pour prendre le contrôle du compteur de programme, puis ont exploité la vulnérabilité CVE-2023-0266 pour obtenir un accès en lecture/écriture arbitraire dans le noyau. L'exploit a également utilisé la vulnérabilité CVE-2023-26083 pour fuiter des informations d'espace d'adressage du noyau et vaincre KASLR. La chaîne d'exploitation a été combinée avec une technique de lecture/écriture arbitraire déterministe et très fiable utilisant le sous-système VFS du noyau Linux. L'exploit a remplacé les ashmem_misc.fops par un pointeur vers une structure de file_operations factice, permettant le contrôle des opérations de fichiers pour les fichiers créés en ouvrant /dev/ashmem. Cette exploitation a été découverte dans la nature en décembre 2022 et a depuis été corrigée.