실제 세계에서 발견된 현대적인 안드로이드 악성 코드 분석

2022년 12월, Google의 위협 분석 그룹은 삼성 안드로이드 기기를 대상으로 하는 익스플로잇 체인을 발견했습니다. 이 익스플로잇 체인은 ALSA 호환성 레이어의 0-데이 취약점, CVE-2023-0266, 및 Mali GPU 드라이버의 0-데이 취약점, CVE-2023-2608을 사용했습니다. 익스플로잇은 ALSA 드라이버의 경쟁 조건을 사용하여 Mali GPU 드라이버 기능을 사용하는 힙 스프레이 기술을 허용했습니다. 공격자는 힙 스프레이를 사용하여 프로그램 카운터에 대한 제어를 얻고, 그리고 CVE-2023-0266 취약점을 사용하여 커널에서 임의의 읽기/쓰기 액세스를 달성했습니다. 익스플로잇 체인은 또한 CVE-2023-26083 취약점을 사용하여 커널 주소 공간 정보를 유출하고 KASLR을 패배했습니다. 익스플로잇 체인은 Linux 커널 VFS 하위 시스템을 사용하는 결정론적이고 매우 신뢰할 수 있는 임의의 읽기/쓰기 기술과 결합되었습니다. 익스플로잇은 /dev/ashmem을 열어 생성되는 파일에 대한 파일 작업을 제어할 수 있도록 ashmem_misc.fops를 가짜 파일 작업 구조체 포인터로 대체했습니다. 이러한 익스플로잇은 2022년 12월에 야생에서 발견되었고, 이후 패치되었습니다.