Googles særlige sikkerhedshold dystede om at knække Samsungs flagskibsmodel

3. november 2015 kl. 15:122
Googles særlige sikkerhedshold dystede om at knække Samsungs flagskibsmodel
Illustration: Samsung.
Samsung Galaxy S6 Edge er blevet gennemtrawlet for sikkerhedshuller i løbet af en uge af Googles Project Zero, der har afholdt en intern konkurrence mellem øst og vest om at knække telefonen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det Google-støttede sikkerhedsteam Project Zero har haft særligt kig på Samsungs seneste flagskibstelefon, Galaxy S6 Edge. Holdet har på den baggrund fundet frem til 11 sikkerhedsproblemer på apparatet, hvoraf størstedelen dog er fikset med en oktober-opdatering fra Samsung.

Project Zero-medlemmet Natalie Silvanovich fortæller i et blogindlæg, hvordan holdet har afholdt en intern konkurrence med amerikanske medlemmer på den ene side og europæiske på den anden.

De to hold havde tre overordnede udfordringer.

  1. Opnå fjernadgang til kontakter, billeder og beskeder. Her var der point at hente, hvis et angreb ikke krævede bruger-interaktion.

  2. Opnå adgang til kontakter, billeder, geolokation og så fremdeles - vel at mærke via en applikation installeret uden tilladelser fra Googles app-forretning, Play.

  3. Persistent eksekvering af kode, selvom enheden bliver wipet via den adgang, der er opnået via pkt. 1 og 2.

Den interne konkurrence løb over en uge, hvor Project Zero-medlemmerne (plus et par ekstra personer fra Google for at få holdstørrelsen til at gå op) fandt frem til 11 sikkerhedsproblemer.

Artiklen fortsætter efter annoncen

Nogle mere alvorlige end andre.

Manglende validering ved zip-udpakning

Natalie Silvanovich beskriver sårbarheden CVE-2015-7888 som den mest interessante. Den blev opdaget af Mark Brand og gør det muligt at skrive en fil ind i Samsungs Android som en systemfil.

Det lader sig gøre, fordi der kører en proces på telefonen, der scanner efter /sdcard/Download/cred.zip og pakker filen ud. Det foregår dog uden at tjekke stien, som filen er sat til at blive pakket ud i. Og dermed kan filen skrives ind et uventet sted i systemet.

En SELinux-policy (Security-Enhanced Linux), der sidenhen er skubbet ud til Samsungs S6 Edge, forhindrer dog sårbarheden i at virke. Natalie Silvanovich bemærker imidlertid også i blogindlægget, at tre af de sikkerhedsproblemer, som Project Zero-folkene har fundet frem til, kan gøre det muligt for sårbarheder at slå SELinux fra på telefonen.

En anden bug blev opdaget af James Forshaw og Matt Tait og har fået betegnelsen CVE-2015-7893. Den gør det muligt at eksekvere javascript i Samsungs email-klient på telefonen. Det er uvist, hvor alvorligt dette problem er. Men, bemærker Natalie Silvanovich, fejlen øger angrebsfladen, da eventuelle javascript-sårbarheder i Androids WebView på den måde vil være mulige at udnytte ved at sende ofret en e-mail.

Project Zero-folkene gjorde ifølge blogindlægget Samsung opmærksom på sikkerhedsproblemerne kort efter, at de blev opdaget.

Otte af de 11 sikkerhedsproblemer fiksede Samsung med en OTA (over-the-air) opdatering i oktober. De tilbageværende tre sikkerhedsproblemer betegnes som mindre kritiske i blogindlægget og skulle blive fikset med en OTA-opdatering fra Samsung i november.

Detaljerne om alle fejlene ser dog ud til at være offentliggjort, da der er gået 90 dage, siden Project Zero gjorde Samsung opmærksom på dem. Det ser ud til at være sket i slutningen af juli og i starten af august. Og Google-holdet arbejder ud fra en disclosure-politik om at offentliggøre bugs, når producenten lukker huller, eller når der er gået 90 dage.

Hvilket i sagens natur også sætter producenterne under et vist pres for at få lukket huller, inden de bliver alment kendte.

Opdateret 15:37 med information om holdvinderne

Ifølge et tweet fra Natalie Silvanovich vandt det europæiske hold.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
3. november 2015 kl. 15:39

Tak for info som er medtaget til slut i artiklen. Jakob - V2