Monday, November 2, 2015

Hack The Galaxy: Hunting Bugs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Samsung Galaxy S6 Edge

Posted by Natalie Silvanovich, Planner of Bug Bashes

Recently, Project Zero researched a popular Android phone, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Samsung Galaxy S6 Edge. We discovered and reported 11 high-impact security issues as a result. This post discusses our motivations behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 research, our approach in looking for vulnerabilities on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device and what we learned by investigating it.

The majority of Android devices are not made by Google, but by external companies known as Original Equipment Manufacturers or OEMs which use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Android Open-Source Project (AOSP) as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basis for mobile devices which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y manufacture. OEMs are an important area for Android security research, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y introduce additional (and possibly vulnerable) code into Android devices at all privilege levels, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y decide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frequency of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security updates that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y provide for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir devices to carriers.

Having done some previous research on Google-made Nexus devices running AOSP, we wanted to see how different attacking an OEM device would be. In particular, we wanted to see how difficult finding bugs would be, what type of bugs we would find and whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r mitigations in AOSP would make finding or exploiting bugs more difficult. We also wanted to see how quickly bugs would be resolved when we reported cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. We chose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Samsung Galaxy S6 Edge, as it is a recent high-end device with a large number of users.

We decided to work togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r on a single problem for a week, and see how much progress we could make on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Samsung device. To get our competitive spirits going, we decided to have a contest between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 North American and European members of Project Zero, with a few extra participants from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Google security teams to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 teams even, giving a total of five participants on each side.

Each team worked on three challenges, which we feel are representative of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security boundaries of Android that are typically attacked. They could also be considered components of an exploit chain that escalates to kernel privileges from a remote or local starting point.

  1. Gain remote access to contacts, photos and messages. More points were given for attacks that don’t require user interaction, and required fewer device identifiers.
  2. Gain access to contacts, photos, geolocation, etc. from an application installed from Play with no permissions
  3. Persist code execution across a device wipe, using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 access gained in parts 1 or 2

A week later, we had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results! A total of 11 issues were found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Samsung device.

Samsung WifiHs20UtilityService path traversal

Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most interesting issue found was CVE-2015-7888, discovered by Mark Brand. It is a directory traversal bug that allows a file to be written as system. There is a process running a system on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device that scans for a zip file in /sdcard/Download/cred.zip and unzips cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API used to unzip cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file does not verify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path, so it can be written in unexpected locations. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device we tested, this was trivially exploitable using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dalvik cache using a technique that has been used to exploit ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r directory traversal bugs, though an SELinux policy that prevents this specific exploitation technique has been pushed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device since.

Samsung SecEmailComposer QUICK_REPLY_BACKGROUND permissions weakness

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r interesting and easy-to-exploit bug, CVE-2015-7889 was found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Samsung Email client by James Forshaw. It is a lack of aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication in one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client’s intent handlers. An unprivileged application can send a series of intents that causes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user’s emails to be forwarded to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r account. It is a very noisy attack, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forwarded emails show up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user’s sent folder, but it is still easy access to data that not even a privileged app should be able to access.

Samsung SecEmailUI script injection

James Forshaw and Matt Tait also found a script injection issue in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Samsung email client, CVE-2015-7893. This issue allows JavaScript embedded in a message to be executed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email client. It is somewhat unclear what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst-case impact of this issue is, but it certainly increases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack surface of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email client, as it would make JavaScript vulnerabilities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Android WebView reachable remotely via email.

Driver Issues

There were three issues found in drivers on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device. CVE-2015-7890, found by Ian Beer, and CVE-2015-7892, found by Ben Hawkes, are buffer overflows in drivers that are accessible by processes that run as media. These could be used by bugs in media processing, such as libstagefright bugs, to escalate to kernel privileges. CVE-2015-7891, found by Lee Campbell of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chrome Security Team is a concurrency issue, leading to memory corruption in a driver that could be used to escalate from any unprivileged application or code execution to kernel.

Image Parsing Issues

Five memory corruption issues on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device in Samsung-specific image processing by myself, Natalie Silvanovich. Two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues, CVE-2015-7895 and CVE-2015-7898 occur when an image is opened in Samsung Gallery, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, CVE-2015-7894, CVE-2015-7896 and CVE-2015-7897 occur during media scanning, which means that an image only needs to be downloaded to trigger cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues. They allow escalation to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 privileges of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Samsung Gallery app or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media scanning process.

Severity and Mitigations

Overall, we found a substantial number of high-severity issues, though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were some effective security measures on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device which slowed us down. The weak areas seemed to be device drivers and media processing. We found issues very quickly in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se areas through fuzzing and code review. It was also surprising that we found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three logic issues that are trivial to exploit. These types of issues are especially concerning, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to find, exploit and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue is very short.

SELinux made it more difficult to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device. In particular, it made it more difficult to investigate certain bugs, and to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device attack surface. Android disabling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 setenforce command on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device made this even more difficult. That said, we found three bugs that would allow an exploit to disable SELinux, so it’s not an effective mitigation against every bug.

Reporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Issues

We reported cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues to Samsung soon after we discovered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. They responded recently, stating that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had fixed eight of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir October Maintenance Release, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining issues would be fixed in November. We greatly appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir efforts in patching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues.

Testing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same device we found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m on, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent security update (G925VVRU4B0G9) applied confirmed this.

Issue
Status
Fixed
Fixed
Fixed
Fixed
Fixed
Unfixed
Fixed
Unfixed
Fixed
Fixed
Unfixed

The majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues are fixed, however three will not be patched until November. Fortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se appear to be lower severity issues. CVE-2015-7898 and CVE-2015-7895 require an image to be opened in Samsung Gallery, which does not have especially high privileges and is not used by default to open images received remotely via email or SMS (so an exploit would require cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to manually download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image and open it in Gallery). The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r unfixed issue, CVE-2015-7893 allows an attacker to execute JavaScript embedded in emails, which increases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack surface of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email client, but ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise has unclear impact.

Conclusion

A week of investigation showed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of weak points in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Samsung Galaxy S6 Edge. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of a week, we found a total of 11 issues with a serious security impact. Several issues were found in device drivers and image processing, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were also some logic issues in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device that were high impact and easy-to-exploit.

The majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues were fixed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device we tested via an OTA update within 90 days, though three lower-severity issues remain unfixed. It is promising that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest severity issues were fixed and updated on-device in a reasonable time frame.

6 comments:

  1. You never said who won. Eleven issues means no tie...

    ReplyDelete
  2. The bugs and exploits are related to samsung preinstalled own applications that nobody uses it. So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market is almost ZERO.

    ReplyDelete
  3. I was interested by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thing :o)

    ReplyDelete
  4. @newsham - I agree - would be great to know who won this Hack Ryder Cup event!

    ReplyDelete
  5. Dear Google team,

    Do you plan to test ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r devices same way as s6?

    Thanks

    ReplyDelete
  6. This is only proof that OEM should be held financially liable for consumer damages if any fault is not corrected in a reasonable time.

    ReplyDelete