三星手机被曝严重安全漏洞

Kryptowire安全研究人员在三星设备中发现了一个严重的安全漏洞。

Kryptowire安全研究人员在运行安卓9到安卓12版本系统的三星设备中发现了一个严重的安全漏洞，漏洞CVE编号为CVE-2022-22292，CVSS v3评分为7.8分。该漏洞允许本地应用模拟系统级的活动，并劫持重要的受保护的功能。攻击者利用该漏洞可以恢复出厂设置，删除所有的用户数据，拨打电话，安装和卸载应用，通过安装任意的根证书来弱化HTTPS安全，所有的恶意行为都是在后台进行的，不需要用户的同意。

CVE-2022-22292漏洞分析

该漏洞存在于运行安卓9到安卓12版本系统的三星设备中预装的应用软件中，该APP的运行权限为system。该APP中有一个不安全的组件，运行本地APP在没有用户授权的情况下创建和提供intent对象，这些对象之后可以在预装的应用软件环境下以系统用户权限启动任意Activity App组件。在安卓9系统中，预装的APP可以利用该漏洞来广播任意intent对象。

一般来说，在通过intent对象启动Activity App组件时，APP会局限于自己的环境中，比如授予的权限、用户授予的能力、用户ID（UID）等，但是该漏洞允许本地APP在启动Activity时通过system UID间接地使用预装APP的环境。

在攻击中，有漏洞的预装的APP会接收到从攻击者APP处获得的嵌入另一个intent的intent对象，然后使用攻击者APP创建的嵌入的intent来启动Activity APP组件。这可以理解为intent转发，即攻击者控制了另一个高权限进程发送的intent对象，可以启动非导入的 Activity APP组件。

这一行为允许第三方APP控制预装APP发送的intent对象的内容。有漏洞的预装APP转发接收到的intent对象。该漏洞产生的根本原因是com.android.server.telecom App 中动态注册的广播接收器的不准确访问控制导致的。

该漏洞并不是AOSP的问题，而是与三星安卓手机中特定的com.android.server.telecom App 有关。利用该漏洞的本地APP可以在后台执行来进行权限提升，并启动特定的活动，比如恢复出厂设置、安装任意APP、卸载任意APP、拨打电话、安装定制的CA等。

对于运行安卓9 系统的三星设备来说，攻击面是 broadcast receiver App 组件而非Activity App组件。

漏洞时间轴

研究人员在2021年11月27日将该漏洞报告给三星，三星已于2022年2月发布漏洞补丁。

关于该漏洞的技术细节参见：https://www.kryptowire.com/blog/start-arbitrary-activity-app-components-as-the-system-user-vulnerability-affecting-samsung-android-devices/