استغلال الأهداف وضع كوالكوم EDL ، يؤثر على بعض Xiaomi ، ون بلس ، نوكيا وغيرها من الأجهزة

لحسن الحظ ، يتطلب الوصول الفعلي إلى الجهاز

تحتوي الأجهزة المزودة بشرائح Qualcomm على P rimary B oot l oader (PBL) الذي يقوم عادةً بتشغيل نظام Android ، ولكنه يضم أيضًا وضع تمهيد بديل معروف باسم وضع EDL. وضع EDL هو قصيدة M الخاصة بـ Qualcomm's E mergency ويتيح لمُصنِّع O quipment M جامع (OEM) فرض برامج الفلاش على الجهاز. لا يمكن تعديل هذا (وضع القراءة فقط) ولديه تحكم كامل في مساحة تخزين الجهاز. أصدر العديد من مصنعي المعدات الأصلية ، بما في ذلك OnePlus و Xiaomi ، أدوات (تُعرف باسم المبرمجين) تستخدم وضع EDL وبروتوكول يعرف باسم Firehose لإلغاء حظر الجهاز ، بينما تسربت أدوات أخرى من شركات مثل Nokia. يمكن أن يستخدم Firehose عددًا من الأوامر لأجهزة الفلاش ، إلى جانب القدرة على فحص البيانات داخل ذاكرة الجهاز. اكتشف باحثو الأمن روي هاي (roeehay) ونعم حداد من Aleph Research ثغرات أمنية بالغة الأهمية باستخدام هذا الوضع ، مما يمنح المهاجم حق الوصول الكامل إلى الجهاز .

من المهم الإشارة إلى أن هذا الاستغلال يتطلب وصولاً فعليًا إلى الجهاز ، لكنه لا يزال خطيرًا بشكل كبير ولا يمكن تصحيحه على الأرجح . استخدم المهاجمون مستوى الوصول الممنوح إلى وضع EDL لتجاوز التمهيد الآمن على نوكيا 6 ، وهزم سلسلة الثقة والحصول على تنفيذ التعليمات البرمجية الكامل عبر كل جزء من تسلسل التمهيد بما في ذلك نظام التشغيل أندرويد نفسه. تم افتراض أنه يعمل بنفس الطريقة على الأجهزة الأخرى ، كما تمكن الباحثون أيضًا من فتح أجهزة XIAOMO متعددة وتسجيلها دون أي فقد للبيانات.

ما الأجهزة التي تتأثر بهذا الاستغلال؟

أولا ، الأجهزة التي تتأثر.

قائمة الأجهزة المتأثرة.

  • LG G4
  • نوكيا 6 (d1c)
  • نوكيا 5
  • Nexus 6 (شامو)
  • Nexus 6P (الصياد)
  • موتو G4 بلس
  • ون بلس 5 (تشيز برجر)
  • ون بلس 3T
  • ون بلس 3
  • ون بلس 2
  • ون بلس X
  • واحد زائد واحد
  • ZTE أكسون 7
  • ZUK Z1
  • ZUK Z2
  • Xiaomi Note 5A (ugglite)
  • Xiaomi Note 5 Prime (ugg)
  • Xiaomi Note 4 (mido)
  • Xiaomi Note 3 (jason)
  • Xiaomi Note 2 (العقرب)
  • شياومي ميكس (الليثيوم)
  • Xiaomi Mix 2 (chiron)
  • Xiaomi Mi 6 (sagit)
  • Xiaomi Mi 5s (الجدي)
  • Xiaomi Mi 5s Plus (natrium)
  • Xiaomi Mi 5x (تيفاني)
  • Xiaomi Mi 5 (الجوزاء)
  • Xiaomi Mi 3 (cancro)
  • Xiaomi Mi A1 (tissot)
  • Xiaomi Mi Max2 (الأكسجين)
  • شياومي ريدمي نوت 3 (كينزو)
  • Xiaomi Redmi 5A (riva)
  • Xiaomi Redmi 4A (وردية)

استغلال هاتف Android

تسلسل التمهيد لهاتف Android Qualcomm نموذجي

من المهم أن نفهم أولاً تسلسل التمهيد لجهاز Android النموذجي قبل شرح كيفية استغلاله. إن S oftware B oot l oader (SBL) عبارة عن أداة تحميل تشغيل موقعة رقمياً والتي يتم التحقق من صحتها قبل تحميلها في imem. imem هي ذاكرة سريعة الاستخدام تستخدم لتصحيح الأخطاء ومعاملات DMA ( d irect m emory a ccess) وهي مملوكة لشرائح Qualcomm.

تحتوي بعض الأجهزة على e X tensible B oot l oader (XBL) بدلاً من SBL ، ولكن عملية التمهيد هي نفسها إلى حد كبير. تقوم SBL أو XBL بعد ذلك بتشغيل ABOOT ، والتي تقوم بتنفيذ fastboot. بعد ذلك ، يتم أيضًا تحميل TrustZone (الأمان المستند إلى الأجهزة). تقوم TrustZone بالتحقق من صحة ABOOT عن طريق شهادة جذر تستند إلى الأجهزة. تم تصميم SBL (أو XBL ، في بعض الحالات) لرفض ABOOT موقعة بشكل غير صحيح (أو غير موقعة).

بمجرد المصادقة ، يقوم ABOOT بالتحقق من / التمهيد و / الاسترداد للتأكد من صحتها قبل بدء تشغيل Linux kernel. تتم بعض الاستعدادات للنظام ، ثم يتم نقل تنفيذ التعليمات البرمجية إلى النواة. يُعرف ABOOT باسم "محمل أندرويد للأندرويد" ، وعندما نقوم بإلغاء قفل محمل الإقلاع لجهاز ما ، فإننا نعطل فحص التحقق من الصحة هذا في ABOOT.

تسلسل التمهيد لجهاز Android القياسي المرئي. // المصدر: أبحاث ألف

الوصول إلى وضع EDL

بينما تحتوي بعض الأجهزة على مجموعة بسيطة من الأجهزة (أو ما هو أسوأ من ذلك ، يوجد أمر سريع للخاصية fastboot موجود في العديد من أجهزة Xiaomi) ، بينما يحتاج البعض الآخر ، مثل أجهزة Nokia ، إلى دبابيس قصيرة تعرف باسم "نقاط الاختبار" موجودة على اللوحة الرئيسية للجهاز. كما كان من الممكن ، قبل تصحيح الأمان في ديسمبر 2017 ، تشغيل "adb reboot edl" على العديد من الأجهزة (بما في ذلك Nexus 6 و 6P) والدخول إلى وضع EDL. وقد تم إصلاح هذا منذ ذلك الحين.

تظهر نقاط الاختبار في صندوق أصفر مرسوم في أسفل اللوحة الرئيسية للجهاز. // المصدر: أبحاث ألف

يمكن للأجهزة الأخرى أيضًا استخدام ما يعرف باسم كبل "الفلاش العميق" ، وهو كبل خاص به بعض المسامير المختصرة لإخبار النظام بدلاً من ذلك بالتشغيل في وضع EDL. يمكن لأجهزة Xiaomi القديمة الاستفادة من هذه الطريقة ، إلى جانب Nokia 5 و Nokia 6. كما سيتم تشغيل أجهزة أخرى في وضع EDL عندما تفشل في التحقق من SBL.

كابل فلاش عميق

الاستفادة من وضع EDL للوصول الكامل إلى OnePlus 3 / 3T

يمكن استخدام وضع EDL بعدة طرق على الجهاز ، معظمها للأجهزة التي لا تستخدم القسر عن طريق إجبارها على الوميض. كما هو موضح أعلاه ، يجب أن يكون آمنًا نظريًا لأي شخص الوصول إلى هذا الوضع ، لأن السيناريو الأسوأ هو أن ABOOT سيرفض البرامج التي لم توقع عليها الشركة المصنعة رسميًا. على الرغم من أن هذا صحيح ، فمن الممكن بالفعل السيطرة الكاملة على OnePlus 3 أو 3T وملفاته كدليل على استغلال المفهوم الذي أظهره الباحثون.

سيتم ذلك من خلال أمرين خطرين للغاية تركهما OnePlus متاحًا في إصدار أقدم من ABOOT (محمل الإقلاع لنظام Android) ، لإلغاء قفل أداة تحميل الإقلاع للجهاز (دون ظهور تحذير للمستخدم عند التمهيد) وتعطيل dm_verity. يُعرف dm_verity أيضًا باسم التمهيد الذي تم التحقق منه وهو جزء من تسلسل التمهيد الآمن على جهاز Android. الأمرين كالتالي.

 fastboot oem disable_dm_verity 
 fastboot oem 4F500301/2 

راقب العملية البسيطة المكونة من 4 خطوات أدناه والتي تستخدم بروتوكول Firehose.

  1. أولاً ، قم بتشغيل الجهاز في وضع EDL. يمكن القيام بذلك إما عبر adb على OxygenOS 5.0 أو أقل أو باستخدام مجموعة مفاتيح بسيطة للأجهزة.
  2. قم بتنزيل صورة نظام قديم أدناه OxygenOS 4.0.2.
  3. فلاش aboot.bin من خلال firehose (تذكر أن aboot.bin تنفذ fastboot ، كما ذكرنا سابقًا)
  4. ستتمكن الآن من تعطيل التمهيد الآمن وإلغاء قفل أداة تحميل التشغيل دون مسح الجهاز ببساطة باستخدام الأمرين fastboot أعلاه.

إذا كنت تتذكر ، فقد تم العثور على OnePlus سابقًا على أنه قد ترك أمرين من أنظمة تشغيل fastboot الخطرة منذ عام تقريبًا ، أحدهما فتح أداة تحميل التشغيل وأخرى عطلت التمهيد الآمن. على الرغم من أنه لا يمكن للمهاجمين تثبيت برامج ضارة على الجهاز ، إلا أنه يمكنهم تقليل تصنيف الجهاز ليكون أقدم ، وعرضه لهجمات البرامج . ببساطة عن طريق تشغيل أوامر fastboot أعلاه ، يمكن للمهاجم الوصول الكامل إلى الجهاز.

وهذا كل شيء ، تم إلغاء تحميل أداة الإقلاع ، وتم إيقاف تشغيل التمهيد الآمن ولا يوجد أي فقد للبيانات على الإطلاق. إذا رغب أحد المهاجمين في اتخاذ هذه الخطوة إلى الأمام ، فيمكنه وميض نواة مخصصة ضارة تمكن وصول الجذر إلى الجهاز الذي لن يعرفه المستخدم أبدًا.

يعمل Firehose من خلال بروتوكول Qualcomm Sahara ، الذي يقبل مبرمجًا موقعه من الشركة المصنّعة للمعدات الأصلية وهو كيفية تنفيذ الهجوم المذكور أعلاه. عند الاتصال بجهاز ، يكون بمثابة SBL عبر USB. يستخدم معظم المبرمجين Firehose للتواصل مع الهاتف في وضع EDL ، وهو ما يستغله الباحثون للحصول على تحكم كامل بالأجهزة. استخدم الباحثون هذا أيضًا لإلغاء تأمين جهاز Xiaomi ببساطة عن طريق وميض صورة معدلة قامت بإلغاء تأمين أداة تحميل التشغيل . ثم قاموا بوميض نواة مخصصة أعطت الوصول إلى الجذر وأطلقت SELinux بشكل متساهل واستخرجت أيضًا صورة بيانات المستخدم المشفرة من الجهاز.

خاتمة

من غير المعروف لماذا تقوم شركات تصنيع المعدات الأصلية بإطلاق سراح هؤلاء المبرمجين من كوالكوم. تسرب مبرمجو Nokia و LG و Motorola و Google بدلاً من إطلاق سراحهم ، لكن الباحثين تمكنوا من كسر سلسلة الثقة الكاملة على Nokia 6 والحصول على وصول كامل إلى الجهاز من خلال أساليب مماثلة للاستغلال. إنهم واثقون من إمكانية نقل الهجوم إلى أي جهاز يدعم هؤلاء المبرمجين. إذا كان ذلك ممكنًا ، يجب أن تستفيد شركات تصنيع المعدات الأصلية من qFuses للأجهزة التي تمنع التراجع عن البرامج ، وذلك بالنفخ عندما يتم إرجاع أجهزة الجهاز وتحذير المستخدم من حدوثها. يمكن للمهتمين إلقاء نظرة على ورقة البحث الكاملة أدناه ويمكنهم قراءة استغلال نوكيا بالكامل أيضًا.


المصدر: أبحاث ألف