В ходе прошедшего в прошлом году состязания Mobile Pwn2Own «белым» хакерам так и не удалось взломать смартфон Pixel, разработкой которого занимается сама компания Google. Но теперь команда исследователей из Qihoo 360 все же сумела обнаружить ряд уязвимостей, объединение которых в одну «цепочку» позволяет взломать Pixel и другие устройства удаленно, попросту заманив жертву на вредоносный сайт.
Для атаки исследователи использовали две уязвимости: CVE-2017-5116 и CVE-2017-14904. Первая проблема представляет собой type confusion баг, обнаруженный в составе V8 (JavaScript-движок Google). Его эксплуатация позволяет выполнить произвольный код в рамках находящегося в песочнице рендер-процесса Chrome. Эта брешь была устранена еще в сентябре 2017 года, с выходом Chrome 61. Вторая уязвимость связана с ошибкой в Android-модуле libgralloc и, как нетрудно догадаться, с помощью этого бага можно совершить побег из песочницы. Данную возможность эскалации привилегий устранили в декабре, выпустив патч наряду с другими декабрьскими «заплатками» для Android.
Комбинация двух вышеописанных проблем позволяла атакующему внедрить произвольный код в процесс system_server, предварительно обманом заставив жертву открыть вредоносный URL в Chrome.
За свои находки исследователи Qihoo 360 получили 105 000 долларов в рамках программы Android Security Rewards и 7500 долларов в рамках программы вознаграждения за уязвимости, обнаруженные в Chrome. В настоящее время – это крупнейшая выплата за всю историю существования Android Security Rewards, с момента ее расширения летом 2017 года. Учитывая, что специалисты Qihoo 360 первыми сумели создать цепочку для удаленной компрометации Pixel, размер вознаграждения не вызывает удивления.
Эксперты опубликовали гостевую колонку в официальном блоге Google, где описали все детали найденных уязвимостей и рассказали о тонкостях реализованной атаки.