У хакера есть 736 миллисекунд. Критическая ошибка в Samsung позволяет украсть данные, пока смартфон «мерзнет»
NewsMakerSamsung говорит, что во всем виноват Magisk. Спойлер: кажется, нет.
Исследователь под псевдонимом Vulndisclosure сообщил об уязвимости ZeroBoot, которая позволяет обойти файловое шифрование (FBE) на смартфоне Samsung Galaxy A25 5G и получить доступ к данным без ввода пароля. По оценке автора отчета, проблема связана с гонкой состояний в процессе загрузки устройства и оценивается баллом 8.2 по шкале CVSS, что соответствует высокому уровню опасности.
Суть бага в том, что при определенных условиях запуска устройства возникает короткое окно длительностью около 736 мс, в течение которого система считает смартфон заблокированным и зашифрованным, но при этом принимает подключение по MTP и команды ADB без аутентификации. Это происходит на этапе холодной загрузки, когда одновременно инициализируются интерфейс SystemUI, политики безопасности FBE и машина состояний экрана блокировки. В результате образуется рассинхронизация: визуально блокировка еще не отображается или только появляется, а доступ к расшифрованным разделам уже возможен.
Эксплуатация уязвимости возможна только при физическом доступе к смартфону и при соблюдении ряда условий. По словам исследователя, добиться успешного PoC получалось тогда, когда температура устройства была около 5 °C, аккумулятор был полностью разряжен и выключался с задержкой примерно 16 секунд, смартфон был подключен к зарядке с током около 1000 мА, а оперативная память была загружена в диапазоне от 3.7 до 3.8 ГБ. В таких условиях, по его оценке, атака срабатывала примерно в 87 % случаев.
В рамках демонстрации ZeroBoot исследователь показал, что в уязвимое окно можно получить доступ к данным пользователя через MTP, выполнять команды без ввода пароля, а затем закрепить контроль над устройством установкой бэкдоров или изменением настроек. Отдельно подчеркивается риск для корпоративных и форензик сценариев: атака позволяет обойти защиту экрана блокировки, механизмы FBE и стандартные ограничения на доступ к данным, которые считаются активными до ввода учетных данных.
Автор отчета также раскритиковал реакцию производителя. По его словам, вендор попытался списать проблему на наличие Magisk, хотя этот инструмент загружается уже после ядра и не затрагивает уязвимый участок цепочки загрузки. Кроме того, в переписке, опубликованной исследователем , Samsung якобы рекомендовал использовать сторонний сайт для загрузки прошивки и предлагал провести проверку на Android 14, несмотря на то что устройство защищено механизмом anti rollback и уже обновлено до более новой версии.
В качестве мер защиты исследователь предлагает синхронизировать работу компонентов, отвечающих за инициализацию SystemUI, проверку состояния шифрования и экрана блокировки, а также добавить дополнительные проверки температурных и энергетических аномалий при загрузке. В идеале интерфейс блокировки и внешние сервисы доступа к данным должны активироваться только после того, как система гарантированно убедится в корректном и согласованном состоянии подсистем безопасности. Официальной информации о выпуске исправления на момент публикации отчета не приводится, поэтому владельцам Galaxy A25 5G рекомендуется внимательно относиться к физическому доступу к устройству и не оставлять его без присмотра, особенно в условиях низких температур.
Исследователь под псевдонимом Vulndisclosure сообщил об уязвимости ZeroBoot, которая позволяет обойти файловое шифрование (FBE) на смартфоне Samsung Galaxy A25 5G и получить доступ к данным без ввода пароля. По оценке автора отчета, проблема связана с гонкой состояний в процессе загрузки устройства и оценивается баллом 8.2 по шкале CVSS, что соответствует высокому уровню опасности.
Суть бага в том, что при определенных условиях запуска устройства возникает короткое окно длительностью около 736 мс, в течение которого система считает смартфон заблокированным и зашифрованным, но при этом принимает подключение по MTP и команды ADB без аутентификации. Это происходит на этапе холодной загрузки, когда одновременно инициализируются интерфейс SystemUI, политики безопасности FBE и машина состояний экрана блокировки. В результате образуется рассинхронизация: визуально блокировка еще не отображается или только появляется, а доступ к расшифрованным разделам уже возможен.
Эксплуатация уязвимости возможна только при физическом доступе к смартфону и при соблюдении ряда условий. По словам исследователя, добиться успешного PoC получалось тогда, когда температура устройства была около 5 °C, аккумулятор был полностью разряжен и выключался с задержкой примерно 16 секунд, смартфон был подключен к зарядке с током около 1000 мА, а оперативная память была загружена в диапазоне от 3.7 до 3.8 ГБ. В таких условиях, по его оценке, атака срабатывала примерно в 87 % случаев.
В рамках демонстрации ZeroBoot исследователь показал, что в уязвимое окно можно получить доступ к данным пользователя через MTP, выполнять команды без ввода пароля, а затем закрепить контроль над устройством установкой бэкдоров или изменением настроек. Отдельно подчеркивается риск для корпоративных и форензик сценариев: атака позволяет обойти защиту экрана блокировки, механизмы FBE и стандартные ограничения на доступ к данным, которые считаются активными до ввода учетных данных.
Автор отчета также раскритиковал реакцию производителя. По его словам, вендор попытался списать проблему на наличие Magisk, хотя этот инструмент загружается уже после ядра и не затрагивает уязвимый участок цепочки загрузки. Кроме того, в переписке, опубликованной исследователем , Samsung якобы рекомендовал использовать сторонний сайт для загрузки прошивки и предлагал провести проверку на Android 14, несмотря на то что устройство защищено механизмом anti rollback и уже обновлено до более новой версии.
В качестве мер защиты исследователь предлагает синхронизировать работу компонентов, отвечающих за инициализацию SystemUI, проверку состояния шифрования и экрана блокировки, а также добавить дополнительные проверки температурных и энергетических аномалий при загрузке. В идеале интерфейс блокировки и внешние сервисы доступа к данным должны активироваться только после того, как система гарантированно убедится в корректном и согласованном состоянии подсистем безопасности. Официальной информации о выпуске исправления на момент публикации отчета не приводится, поэтому владельцам Galaxy A25 5G рекомендуется внимательно относиться к физическому доступу к устройству и не оставлять его без присмотра, особенно в условиях низких температур.