セルビア政府は、クアルコムのゼロデイを悪用してAndroidデバイスのロックを解除し、「NoviSpy」と名付けられた新しいスパイウェアに感染させた。
この攻撃に関連するクアルコムの欠陥の1つはCVE-2024-43047で、2024年10月にGoogle Project Zeroによって積極的に悪用されるゼロデイ脆弱性としてマークされ、11月にAndroid上で修正を受けた。
このスパイウェアは、通信内容からセルビア当局が配備したと見られ、警察が返却したジャーナリストの携帯電話からアムネスティ・インターナショナルのセキュリティ・ラボが発見した。
「2024年2月、セルビアのディミトロヴグラード出身で、地元の興味深いニュースを取材する独立ジャーナリスト、スラヴィシャ・ミラノフは、一見日常的な交通違反の取り締まりの後、警察署に連行された。
「スラビシャが釈放された後、彼は警官の要請で警察署の受付に置いてきた自分の携帯電話の挙動がおかしいことに気づいた。これはハッキングの兆候であり、セルビアのジャーナリストが直面している監視の脅威を意識して、スラビシャはアムネスティ・インターナショナルのセキュリティ・ラボに連絡し、彼の携帯電話の分析を依頼した。
その後、研究者はGoogleの脅威分析グループ(TAG)に悪用アーティファクトを提供し、マルチメディア処理をDSPコアにオフロードするために使用されるクアルコムのDSP(デジタルシグナルプロセッサ)ドライバ(’adsprpc’)の欠陥を明らかにするに至った。
Googleは、NoviSpyがどの脆弱性を利用しているかについては不明としているが、スパイウェアがエクスプロイトチェーンを利用してAndroidのセキュリティ機構を回避し、カーネルレベルで自身を永続的にインストールすることを示唆している。
セルビアに配備されたNoviSpy
アムネスティ・インターナショナルの報告によると、NoviSpyは、セルビア治安情報局(BIA)とセルビア警察によって、デバイスの物理的保管中にCellebriteロック解除ツールを使用して携帯電話のロックが解除された後に配備された。
改ざんされたデバイスのフォレンジック証拠によると、研究者は、Cellebriteがクアルコムのゼロデイを悪用してAndroid携帯電話のロックを解除したと考えています。
「本レポートのための調査中に、セキュリティ・ラボはゼロデイAndroidの特権昇格脆弱性の特定につながるフォレンジック証拠を発見しました。
アムネスティ・インターナショナルの報告書には、こう書かれている。
「この脆弱性は、アンドロイドメーカーであるグーグルのセキュリティ研究者と共同で特定されたもので、クアルコムの一般的なチップセットを使用した多数のアンドロイドデバイスに影響を及ぼし、世界中で数百万台のアンドロイドデバイスに影響を及ぼしている。
スパイウェアは、BIAと直接結びついたIPレンジ上のサーバーと通信し、サンプルの設定データは、同国の事前のスパイウェア調達プログラムに関連する特定の人物を特定した。
標的はジャーナリスト、人権活動家、政府の反体制派などである。アムネスティの報告書で挙げられている具体例としては、ジャーナリストのスラヴィシャ・ミラノフ、NGO「クロコディル」のメンバー、そして3人の活動家が挙げられる。
しかしアムネスティによれば、技術的な証拠によれば、NoviSpyはここ数年の間にセルビアで数百台とは言わないまでも、数十台のアンドロイド端末にインストールされていたという。
最初の侵害について、アムネスティ・インターナショナルは、回収されたアーティファクトが、Voice-over-WifiやVoice-over-LTE(VoLTE)機能といったアンドロイドの通話機能を活用したゼロクリック攻撃であることを示していると述べている。
これらは、リッチコミュニケーションスイート(RCS)通話の一部として使用され、調査された侵害されたデバイス上でアクティブであった。
アムネスティ・インターナショナルは、一部の活動家が、以下のように、桁数の多い無効な電話番号からの電話を受信することで悪用できるゼロクリックのAndroid脆弱性を利用して標的にされた可能性があると疑っている。

ソースはこちら:アムネスティ・インターナショナル
グーグルがクアルコムの欠陥を発見
グーグルのTAGは、アムネスティ・インターナショナルが捕捉したエクスプロイトによって生成されたカーネル・パニック・ログを受け取り、逆算して、数百万台のAndroid端末で使用されているクアルコムのadsprpcドライバに存在する6つの脆弱性を特定した。
6つの欠陥の概要は以下の通り:
- CVE-2024-38402:CVE-2024-38402: ドライバの参照カウントの問題により、UAF(use-after-free)が悪用され、カーネル空間で任意のコードが実行される可能性があります。
- CVE-2024-21455: ‘is_compat’ フラグの処理に不備があり、 ユーザが管理するポインタがカーネルのポインタとして扱われ、 任意の読み書きプリミティブが作成され、特権の昇格につながる可能性があります。
- CVE-2024-33060:fastrpc_mmap_create’ のレースコンディションにより、ドライバが UAF 脆弱性 (特にグローバルメモリマップの処理時) に晒され、カーネルメモリの破壊に至る可能性がありました。
- CVE-2024-49848:cve-2024-49848: 永続的なマッピングを扱う際のロジックエラーにより、 永続的なメカニズムを提供するマッピングへの参照が不適切に解放された場合に UAF のシナリオが発生します。
- CVE-2024-43047: ‘fastrpc_mmap’ の重複したメモリマッピングが、破損したオブジェクト参照につながる可能性があり、 潜在的にメモリ破壊を引き起こします。
- CVE 番号はありません: fastrpc_mmap_find の不適切な検証により、カーネルアドレス空間の情報がリークされ、カーネルアドレス空間のレイアウトランダム化 (KASLR) をバイパスされる可能性があります。
Googleの研究者は、CVE-2024-43047の悪用を確認し、残りは複雑な攻撃チェーンで悪用されたと推測しています。
本稿執筆時点では、クアルコムはCVE-2024-49848のパッチをリリースしていません。Googleは145日前にこの問題をクアルコムに報告しています。
Googleはまた、クアルコムがCVE-2024-49848とCVE-2024-21455のパッチを業界標準の90日を超えて適用するのを遅らせたことを指摘している。
クアルコムに問い合わせたところ、広報担当者から以下のような回答を得た:
「強固なセキュリティとプライバシーをサポートするよう努める技術の開発は、クアルコム・テクノロジーズの優先事項です。
「Google Project ZeroおよびAmnesty International Security Labの研究者が協調的な情報公開を行ったことを称賛します。FastRPCドライバの研究については、2024年9月現在、修正プログラムをお客様に提供しています。エンドユーザーには、デバイス・メーカーからセキュリティ・アップデートが提供されたら、それを適用することをお勧めします。
CVE-2024-49848に関して、クアルコムは、修正プログラムが開発され、開示プロセスを経ており、関連するセキュリティ情報は2025年1月に公開されると述べた。
CVE識別子がない脆弱性については、クアルコムによると、この問題は2024年9月にCVE-2024-33060の修正とともにパッケージ化されたため、修正済みであるという。
更新 12/16/24: 今後の修正に関するクアルコムからの新しい情報を追加しました。
Comments