三星手機3項漏洞曾遭惡意軟體攻擊

Google今年初發現三星手機作業系統3項漏洞遭到惡意軟體入侵，經通報後，三星已在3月間修補漏洞。

Google Project Zero研究員Maddie Stone及威脅分析小組（Threat Analysis Group，TAG）Clement Lecigne今年初發現3個已被利用的漏洞串，全數集中在三星的客製化元件。研究人員判斷，攻擊樣本是來自一家開發間諜軟體的商業公司於2020年底開發而成，為一JNI原生函式庫檔案。可能是隨同某個惡意App中下載，但研究人員並未找到函式庫使用的是哪個App。

3項漏洞分別是發生在剪貼簿元件的任意檔案讀寫CVE-2021-25337、sec_log元件的核心資訊洩露漏洞CVE-2021-25369及DPU驅動程式的使用已釋放記憶體（use-after-free）漏洞CVE-2021-25370。

其中CVE-2021-25337為當中最高風險的漏洞，CVSS風險值7.1。攻擊程式以SELinux的untrusted app（第三方程式）權限執行，但卻使用SELinux的system_server權限開啟檔案。照理說正常情況下是無法執行的，但三星客製的剪貼簿工具（SemClipboardProvider）具有系統使用者權限，卻同時發生欠缺存取控管的漏洞，致使惡意程式得以讀寫本機上的特定檔案。

其他二個則屬於中度風險漏洞，其中CVE-2021-25369為sec-log檔的存取控制不當，使敏感的核心資訊洩露到使用者空間（userspace）。而CVE-2021-25370則為DPU驅動程式對檔案描述符（file descriptor）處理的實作不當，導致記憶體毁損及核心錯誤（CVE-2021-253）。兩者風險值分別為5.5及4.4。

今年初的攻擊程式主要鎖定三星作業系統核心4.14.113搭載Exynos SoC處理器的手機。除了中國、美國等少數其他地方使用Qualcomm SoC處理器外，大部分銷售機種如歐洲及非洲都是搭載Exynos SoC。而使用該版核心的三星手機，主要是2020年年底出貨的，包括Galaxy S10、A50及A51。

三星已經在今年3月釋出修補程式。研究人員也呼籲用戶儘速更新到最新版本核心。