Theo một báo cáo gần đây ghi nhận, chính phủ quốc gia Serbia đã lợi dụng một lỗ hổng bảo mật zero-day của Qualcomm trên các thiết bị chạy hệ điều hành Android, mở khoá và tiêm vào các thiết bị này phần mềm gián điệp có tên NoviSpy nhằm giám sát hoạt động của nhà báo, các nhà hoạt động và người biểu tình.

Thông tin lỗ hổng

• Định danh lỗ hổng: CVE-2024-43047

• Điểm CVSS(3.1): 7.8

• Mức độ nghiêm trọng: High

• Mô tả: Lỗ xảy ra trong quá trình quản lý và vận hành memory map của HLOS memory. Cụ thể, trong khi hệ điều hành cấp cao (HLOS - High-Level Operating System) đang cố gắng duy trì và quản lý cách bộ nhớ của nó được phân bổ, vấn đề xảy ra khiến bộ nhớ bị thay đổi không đúng cách hoặc bị hỏng, dẫn đến sự cố hệ thống hoặc các lỗi phần mềm.

Mặc dù bản vá bảo mật của lỗ hổng lập tức được phát hành vào tháng 11/2024 và từng nhận được cảnh báo tới từ đội ngũ chuyên gia từ Google Project Zero trước đó một tháng, tuy nhiên do độ phủ sóng rộng lớn của các thiết bị Android, cũng như người dùng phổ thông của các thiết bị này thường không có nhiều kiến thức trong bảo mật, dẫn tới hệ luỵ rằng lỗ hổng trên vẫn được các tin tặc tích cực khai thác trên thực tế.

Phần mềm gián điệp NoviSpy

Phần mềm gián điệp này được rằng phát triển bởi chính phủ Serbia, sau khi một nhà báo cung cấp với Phòng thí nghiệm An ninh của Tổ chức Ân xá Quốc tế chiếc điện thoại cá nhân. Anh này cho biết bản thân thấy những dấu hiệu bất thường sau khi nhận lại chiếc điện thoại trên từ cảnh sát Serbia, do đó anh đã gửi chiếc điện thoại của mình tới Phòng thí nghiệm An ninh và yêu cầu phân tích nó.

Phân tích cho thấy phần mềm gián điệp trên đã sử dụng một chuỗi khai thác để vượt qua lớp bảo mật của Android và triển khai ở mức độ kernel của hệ thống. Từ các bản ghi kernel panic trên các thiết bị thu thập được, có thể liệt kê các lỗ hổng đã bị tận dụng bởi phần mềm gián điệp trên như sau:

Sáu lỗ hổng này được tóm tắt như sau:

• CVE-2024-38402: Lỗi cho phép khai thác use-after-free (UAF) và thực thi mã tùy ý trong kernel.

• CVE-2024-21455: Lỗi cho phép con trỏ của user-controlled được xử ký như con trỏ của kernel, gây ra các phép đọc/ghi tùy ý và dẫn đến nâng cao đặc quyền.

• CVE-2024-33060: Lỗi trong xử lý luồng của fastrpc_mmap_create dẫn đến lỗi trong bộ nhớ của kernel.

• CVE-2024-49848: Lỗi logic dẫn tới khai thác UAF.

• CVE-2024-43047: Lỗi trong fastrpc_mmap có thể dẫn đến hỏng bộ nhớ.

• Chưa có CVE: Việc xác thực sai trong fastrpc_mmap_find làm rò rỉ thông tin kernel, cho phép bypass ngẫu nhiên hóa cách bố trí không gian địa chỉ của nhân (KASLR - Kernel Address Space Layout Randomization).

Thông tin bản vá cho các CVE trên đã được Google và Qualcomm phát hành, người dùng được khuyến khích nên cập nhật đầy đủ và sớm nhất để tránh bị tin tặc lợi dụng và khai thác các lỗ hổng trên trong thời gian tới.

Tham khảo

1. Bleeping Computer: https://www.bleepingcomputer.com/news/security/new-android-novispy-spyware-linked-to-qualcomm-zero-day-bugs/