Una vulnerabilidad crítica de seguridad descubierta en los populares marcos de enraizamiento de Android podría permitir que las aplicaciones maliciosas comprometan los dispositivos enraizados por completo, lo que brinda a los atacantes el control total del sistema sin conocimiento del usuario.
La vulnerabilidad, identificada por primera vez en la versión 0.5.7 de Kernelsu, demuestra cómo los mecanismos de autenticación aparentemente robustos pueden evitarse a través de técnicas de explotación inteligentes.
Los marcos de enraizamiento como Kernelsu, Apatch, Skroot y Magisk han obtenido una adopción generalizada entre los usuarios de Android que buscan privilegios administrativos en sus dispositivos.
Estas herramientas funcionan parcheando el núcleo de Android y enganchando a las funciones críticas del sistema, creando canales de comunicación entre el espacio del núcleo y las aplicaciones de usuario.
Sin embargo, esta integración del sistema profundo viene con riesgos de seguridad significativos, particularmente cuando los mecanismos de autenticación no pueden verificar adecuadamente la legitimidad de las aplicaciones solicitantes.
La vulnerabilidad explota una debilidad fundamental en cómo Kernelsu autentica las aplicaciones gerentes.
Cuando una aplicación solicita el administrador de los privilegios a través de la llamada del sistema PRCTL utilizando el valor mágico 0xdeadbeef, el marco realiza tres comprobaciones de verificación: Validación de la ruta de directorio de datos proporcionada, confirmando la propiedad del directorio y verificando la firma digital del APK.
Si bien las dos primeras verificaciones son fácilmente omitidas por cualquier aplicación maliciosa, el proceso de verificación de la firma contiene una falla crítica que puede ser explotada.
Investigadores de Zimperium identificado La verificación de firma de que Kernelsu se basa en escanear la tabla de descriptor del archivo del proceso para el primer archivo que coincide con el patrón /data/app/*/base.apk.
Este enfoque asume que el APK descubierto pertenece a la aplicación solicitante, pero los atacantes pueden manipular el descriptor de archivos que ordene que engañe al sistema para que valida la firma del gerente legítimo en lugar de su propio APK malicioso.
Ataque de manipulación de descriptor de archivo avanzado
La técnica de explotación se centra en una sofisticada manipulación de descriptores de archivos que permite que las aplicaciones maliciosas se esfuercen gerentes de kernelsu legítimos.
Los atacantes logran esto agrupando al gerente oficial de Kernelsu APK dentro de su aplicación maliciosa y abriéndola estratégicamente antes de hacer solicitudes de autenticación al kernel.
La secuencia de ataque comienza con la aplicación maliciosa que identifica su propio descriptor de archivo base.APK y localiza un descriptor de menos de menos. Si no existe ninguno, el atacante cierra Stdin (Descriptor de archivo 0) para crear espacio.
Luego, la aplicación abre el Manager Kernelsu Legitimate Bundled APK, típicamente ubicado en el directorio Lib en una ruta como /data/app//.com.attacker.manager/lib//base.apk. Este camino satisface los criterios de filtrado de Kernelsu al tiempo que contiene la firma auténtica.
// solicitud de autenticación maliciosa const char* data_path = “/data/data/com.attacker.manager”; int32_t resultado = -1; prctl (kernel_su_option, cmd_become_manager, data_path, nullptr, & dult);
Cuando Kernelsu realiza una verificación de firma, descubre primero el APK del gerente legítimo en la tabla de descriptores del archivo y valida su firma, sin saberlo, sin saberlo, los privilegios del gerente a la aplicación maliciosa.
Una vez autenticado, el atacante obtiene acceso a comandos poderosos que incluyen cmd_grant_root, cmd_allow_su y cmd_set_sepolicy, logrando efectivamente el compromiso completo del sistema.
El impacto de la vulnerabilidad se extiende más allá de los dispositivos individuales a entornos empresariales donde los dispositivos enraizados plantean riesgos de seguridad significativos.
Las organizaciones que utilizan soluciones de gestión de dispositivos móviles deben implementar mecanismos integrales de detección para identificar herramientas de enraizamiento y evitar la explotación potencial de estas vulnerabilidades críticas antes de conducir a infracciones de datos o acceso no autorizado al sistema.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
