Android の権限昇格の脆弱性 CVE-2023-45779:少なくとも7つの OEM に影響する

Exploit released for Android local elevation flaw impacting 7 OEMs

2024/01/31 BleepingComputer — 少なくとも7つの Android OEM (Original Equipment Manufacturer) に影響を与える、Google Android のローカル権限昇格の脆弱性 の PoC エクスプロイトが、GitHub で公開された。ただし、このエクスプロイトはローカル・アクセスを必要とするため、公開されたとしても、利用できるのは研究者くらいだろう。この脆弱性 CVE-2023-45779 は、2023年9月上旬に Meta の Red Team X により発見され、2023年12月の Android のセキュリティ・アップデートで対処されたものである。

この脆弱性は、テスト・キーを使用した APEX モジュールの安全ではない署名に起因するものであり、悪用に成功した攻撃者に対して、悪意のアップデートのプラットフォーム・コンポーネントへのプッシュと、ローカル権限昇格を許す可能性がある。

この脆弱性は、リモートから直接に悪用できるものではない。しかし、Google が次期の Android 15 リリースで対処する予定だという、Compatibility Test Suite (CTS)/Android Open Source Project (AOSP) の弱点を浮き彫りにするものだ。

なお、Android のセキュリティ・パッチ・レベル 2023-12-05 を受けたデバイスは、CVE-2023-45779 の影響を受けない。

安全でない APEX 署名

Meta の Tom Hebb は、1月30日にポストした記事の中で、AOSP から公開されているテスト・キーを使用した、APEX モジュールの署名に問題があると指摘している。

この APEX モジュールにより、OEM ベンダーたちは完全な OTA (Over-the-Air) アップデートを発行することなく、特定のシステム・コンポーネントのアップデートをプッシュすることができる。

これらのモジュールは、ビルド・プロセス中に作成された、OEM のみが知っている秘密鍵で署名されるべきものである。しかし、Android ソースコードのビルド・ツリーに存在する同一の公開鍵を使用することで、誰でも重要なシステム・コンポーネントのアップデートの偽造が、誰にでも可能になってしまう。

このようなアップデートにより、攻撃者はデバイス上で昇格した権限を取得し、既存のセキュリティ・メカニズムをバイパスして、完全な侵害を達成する可能性がある。

脆弱性 CVE-2023-45779 の影響を受ける OEM は、ASUS (Zenfone 9 でテスト済み)/Microsoft (Surface Duo 2)/Nokia (G50)/Nothing (Phone 2)/VIVO (X90 Pro)/Lenovo (Tab M10 Plus)/Fairphone (5) など、広範に及ぶ。

上記のモデルは、テスト・カバレッジのみに関するものであるため、これら7つの OEM の全てではないが、複数のモデルが CVE-2023-45779 に対して脆弱である可能性が高い。この問題に関する Fairphone の速報が、それを裏付けている。

Tom Hebb によると、複数の OEM がセキュリティ脆弱性を見落とした理由は、AOSP の安全でなはいデフォルト・コンフィグ/不十分な文書に加えて、APEX シグネチャにおけるテストキーの使用を検出できなかった、CTS による不十分なカバレッジなどの多岐にわたる。

以下の OEM は、Meta のアナリストによりデバイス・モデルがテストされ、秘密鍵の使用による CVE-2023-45779 の脆弱性が存在しないことが確認されている。

  • Google (Pixel)
  • Samsung (Galaxy S23)
  • Xiaomi (Redmi Note 12)
  • OPPO (Find X6 Pro)
  • Sony (Xperia 1 V)
  • Motorola (Razr 40 Ultra)
  • OnePlus (10T)
公開されたエクスプロイト

脆弱性 CVE-2023-45779 の PoC エクスプロイトを、研究者たちが GitHub に公開したことで、その利用が拡大すると考えられる。しかし、いまだに修正プログラムを受け取っていないとしても、心配する必要はない。

この脆弱性を悪用するには、ターゲット・デバイスへの物理的なアクセスと、”adb shell” の使用に関する専門知識が必要となる。そのため、この PoC の主目的は、研究と緩和の検証となっている。

しかし、過去の例にもあるように、このエクスプロイトが悪用チェーンの一部として利用され、すでに侵害されたデバイスの特権を昇格させる可能性は否定できない。

使用している Android デバイスが、Android セキュリティ・パッチ・レベル 2023-12-05 よりも古い場合には、サポートされているディストリビューションへの切り替え、もしくは、新しいモデルへのアップグレードの検討が推奨される。

Android の脆弱性が、OEM ベンダーたちに影響を及ぼす可能性が指摘されています。この脆弱性 CVE-2023-45779 がけが、単体で悪用される可能性は低いとされていますが、他の脆弱性と組み合わされると状況は変化します。OME を介した修正には時間が掛かるはずなので、なかなか悩ましい問題ですね。よろしければ、Android で検索も、ご利用ください。