現代の野生のAndroidエクスプロイトの分析

2022年12月、Googleの脅威分析グループが、SamsungのAndroidデバイスを標的にするexploitチェーンを発見しました。このexploitチェーンは、ALSA互換レイヤーでの0日脆弱性CVE-2023-0266と、Mali GPUドライバーでの0日脆弱性CVE-2023-2608を使用しました。exploitは、ALSAドライバーの競合状態を利用し、Mali GPUドライバーの機能を使用してヒープスプレー技術を実現しました。攻撃者は、ヒープスプレーを使用してプログラムカウンターコントロールを獲得し、次にCVE-2023-0266脆弱性を悪用してカーネルでの任意の読み取り/書き込みアクセスを実現しました。exploitはまた、CVE-2023-26083脆弱性を使用してカーネルアドレス空間情報をリークし、KASLRを打ち負かしました。exploitチェーンは、LinuxカーネルのVFSサブシステムを使用した決定的な、非常に信頼できる任意の読み取り/書き込み技術と組み合わせられました。exploitは、/dev/ashmemを開くことで作成されたファイルのファイル操作を制御するために、ashmem_misc.fopsを偽のfile_operations構造体のポインタに置き換えました。このexploitは、2022年12月に野生で発見され、以来パッチが適用されています。