Una aplicación maliciosa creada por un ciberdelincuente, puede degradar componentes de la tecnología Android TrustZone a versiones más antiguas que presentan vulnerabilidades conocidas y usar antiguod exploits contra smartphones con un sistema operativo Android actualizado a la última versión.
Según un equipo de cuatro informáticos de la Universidad Estatal de Florida y Baidu X-Lab, el problema reside en el diseño de la tecnología ARM TrustZone, ampliamente desplegada con la gran mayoría de los dispositivos Android actuales.
La tecnología ARM TrustZone es parte de los conocidos sistema en chip (SoC) que consiste en un área segura del procesador principal incluido en los smartphones con Android. Es una sección especial del kernel de Android que ejecuta su propio sistema operativo, el TrustZone OS, que funciona independientemente del sistema operativo Android principal.
TrustZone tiene la tarea de crear una zona segura donde el sistema operativo Android puede ejecutar las operaciones más importantes y sensibles, como las que manejan los datos cifrados. Estas operaciones se ejecutan como aplicaciones especiales (denominadas trustlets) dentro del sistema operativo TrustZone.
Cuando TrustZone OS carga un trustlet, comprueba primero su firma digital criptográfica para ver si está firmada por el verdadero creado del software. Esta verificación de integridad tiene como objetivo eliminar el riesgo de cargar trustlets alterados.
En un documento publicado este verano, los investigadores descubrieron que un atacante podría degradar trustlets a versiones anteriores, que son vulnerables a exploits conocidos.
“La amenaza es causada por el hecho de que los trustlets (aplicaciones de confianza) carecen de prevención de reversión a versiones anteriores y utilizan el mismo par de claves para diferentes versiones del firmware”, declaró Yue Chen, que es uno de los investigadores del portal de noticias de seguridad Bleeping Computer en una entrevista por correo electrónico.
Esto significa que los atacantes pueden usar un antiguo par de claves criptográficas para reemplazar a los nuevos trustlets con versiones anteriores del mismo trustlet, sin que el TrustZone OS se haya dado cuenta del cambio.
El equipo de investigación demostró su ataque de prueba de conceptop con dispositivos que ejecutan la tecnología ARM TrustZone, como son el Samsung Galaxy S7, Huawei Mate 9, Google Nexus 5 y Google Nexus 6.
Sustituyeron las versiones actualizadas del trustlet Widevine con una versión más antigua que era vulnerable a CVE-2015-6639, que es una vulnerabilidad de Android para el Qualcomm Secure Execution Environment (QSEE). Esta vulnerabilidad permite a los atacantes acceso a nivel de root al sistema operativo TrustZone, que indirectamente otorga el control del smartphone al atacante.
De acuerdo a Yue Che, esta amenaza existe en casi todos los dispositivos Android en el mercado actual, incluyendo Samsung Galaxy S7, Google Pixel, Google Nexus, Huawei Mate 9 (Pro) y sus versiones anteriores.
Ya los fabricantes de los smartphones afectados han sido informado de esta vulnerabilidad y están integrado los parches de segudirdad necesaria en sus últimas actualizaciones, así como las soluciones para las nuevas versiones de dispositivos. Para evitar sufrir un ataque que haga uso de esta vulnerabilidad, es importante que los usuarios finales actualicen sus dispositivos a las últimas versiones y apliquen los parches de seguridad disponibles tan pronto como estén disponibles.
La buena noticia es que explotar el ataque descrito por Yu no es tan fácil como suena. Es por ello que tal vez no tiene conocimiento de ninguna operación de propagación de malware a gran escala usando la vulnerabilidad descrita en este post.
Para que un ataque a través de este medio sea exitoso primero se necesita tener el privilegio de root del dispositivo (por ejemplo, explotar otra vulnerabilidad) y luego utilizar este problema combinado con otras vulnerabilidades para infectar el dispositivo.
Para los usuarios que deseen los detalles técnicos inclinados, este artículo se basa en una investigación publicada en julio de 2017 bajo el nombre de “Downgrade Attack on TrustZone“. Y copias de dicho documento están disponibles en línea en estos URL:
- http://ww2.cs.fsu.edu/~ychen/paper/downgradeTZ.pdf
- https://arxiv.org/ftp/arxiv/papers/1707/1707.05082.pdf
Este no es el primer ataque importante en la Trust Zone de los procesadores ARM. El año pasado, en la conferencia de seguridad de USENIX, los investigadores detallaron la vulnerabilidad llamada ARMageddon, también dirigida a TrustZone.
Google es consciente del peligro de que TrustZone se vea comprometido y la compañía está actualmente dispuesta a pagar un botín de hasta 200.000 dólares a los hackers que informen sobre una cadena de explotación remota o una explotación local que conduzca a un hack de TrustZone o Verified Boot.