Un fornitore di servizi di sorveglianza commerciale stava sfruttando un trio di vulnerabilità zero-day in alcuni telefoni Samsung Galaxy più recenti, secondo un post sul blog di Google Project Zero. Queste società potrebbero essere società di telecomunicazioni o Internet che seguono i propri clienti al fine di monetizzare i dati personali fornendo annunci pubblicitari personalizzati.
Secondo la Federal Trade Commission, tali società si impegnano nella ‘raccolta, aggregazione, analisi, conservazione, trasferimento o monetizzazione dei dati dei consumatori e dei derivati diretti di tali informazioni’. Oltre a danneggiare i consumatori, l’FTC sta cercando prove che queste azioni causino danni psicologici, danni alla reputazione e intrusioni indesiderate che si verificano con la raccolta di questi dati personali.
Tuttavia, questa particolare circostanza potrebbe essere più pericolosa. Sebbene Google non abbia menzionato un particolare fornitore di sorveglianza commerciale, ha osservato che la tecnica è simile a un attacco precedente che ha fornito ‘malware di stato nazionale forte’ tramite un’app Android fasulla. I difetti scoperti nel software personalizzato di Samsung facevano parte di una catena di exploit che consentiva all’attaccante di ottenere l’accesso in lettura e scrittura al kernel, rivelando
potenzialmente dati sensibili sul telefono.L’attacco colpisce i dispositivi Samsung Galaxy con kernel 4.14.113 e alimentati da un SoC Exynos. Il Samsung Galaxy S10, Galaxy A50 e Galaxy A51 sono esempi di telefoni che si adattano a questa definizione. Il processore Qualcomm Snapdragon viene utilizzato nelle versioni di quei telefoni venduti negli Stati Uniti e in Cina, mentre il SoC Exynos viene utilizzato nella maggior parte degli altri continenti come Europa e Africa. Secondo Google, l’attacco ‘si basa sia sul driver GPU Mali che sul driver DPU, entrambi esclusivi dei telefoni Samsung Exynos’.
I problemi sorgevano quando un utente veniva indotto a trasferire un’app sul proprio telefono. In questo scenario, il sideloading implica l’ottenimento di un’app da un app store Android di terze parti diverso da Google Play Store. Google ha segnalato le vulnerabilità a Samsung nel 2020 e, sebbene Sammy abbia fornito una correzione a marzo 2021, l’azienda ha omesso di notare che i difetti venivano sfruttati.