Samsung vs. Mobile Pwn2Own - EPIC FAIL (lamest vendor response of the year?)

Mostanság már ritkábban látni akkora bénázást, mint amit a Samsung követett el egy távoli kódvégrehajtásra alkalmat adó biztonsági hiba kezelése kapcsán.

A történet még a tavalyi Pwn2Own versenyre nyúlik vissza, egész pontosan az EuSecWest 2012 mobil Pwn2Own versenyére. Az MWR Labs egy Android 4.0.4-et futtató Samsung Galaxy III-at tört fel NFC-n keresztül egy preparált DOCX file segítségével. A Samsung következő nap információt kért a ZDI-től a sebezhetőséggel kapcsolatban. A ZDI - nyilván a hiba komolyságára való tekintettel - egy kapcsolattartót és annak PGP publikus kulcsát kérte, hogy biztonságosan tudják lekommunikálni a sebezhetőséggel kapcsolatos részleteket. A Samsung erre egy központi incidenskezelő kapcsolatát és annak PGP kulcsát küldte. A ZDI jelezte ezt, hisz nyilván felesleges lett volna a szokásos formaságokon végigmenni és sok kört futni először is azzal, hogy miről van szó és valóban biztonsági hiba egyáltalán, stb. Logikus. A Samsung meg is küldte ezután a biztonsági csapatuk (Samsung Security Team) elérhetőségét és PGP kulcsát, így látszólag úgy tűnt, hogy minden a legnagyobb rendben és most már kördülékenyen fog lezajlani a probléma kezelése.

Ezután jött mégis a fekete leves. A ZDI elküldte a ZDI-CAN-1658 azonosító alatt rögzített sebezhetőség részleteit és mellékelt egy .docx Proof-of-Concept filet, amellyel elő lehet idézni a hibát az érintett Polaris Viewer alkalmazásban. A Samsung biztonsági csapata - annak ellenére, hogy elolvasta a README.txt filet, amelyben le van írva, hogy mire jó a poc.docx - a melléklet újbóli elküldését kérte, arra hivatkoztva, hogy a file hibás. Itt aki már kicsit is foglalkozott IT securityvel valószínűleg erősen csapkodja a homlokát, hisz a poc.docx file naná, hogy hibás, pont ez a lényeg. A preparált docx file triggerel egy programozási hibát, amely puffer túlcsorduláshoz vezet és ennek kontrollálásával lehet kihasználni a problémát arra, hogy kódvégrehajtás történjen az Android rendszeren. A Samsung Security Team úgy tűnik ezt nem fogta fel elsőre, ami már önmagában szégyen egy ekkora cég biztonsági csapatától, de ezt még a továbbiakban fokozták. A ZDI ellenőrízte, hogy valóban jó PoC filet küldött el és fenn áll még a sebezhetőség, majd visszaírt a Samsungnak, hogy a file szándékosan hibás és arra tudják használni, hogy segítségével azonosítsák a sebezhető programkódot. A biztonsági csapat a dátumok tanúsága alapján másfél hetet molyolt a proof of concept dokumentummal, majd az MWR Labs által használt teljes exploitot kérte a ZDI-től. A ZDI jelezte, hogy nem követelnek meg teljes exploitot a Mobile Pwn2Own résztvevőktől.

Ezután hosszú szünet következett. A ZDI 2012. október 9-i válaszlevelét követően sokáig nem érkezett reakció a Samsungtól. A hibát nem javították, további kérdést nem tettek fel. 2013. március 25-én letelt a 180 nap türelmi idő és a sebezhetőség közzétételi szabályzat (Vulnerability Disclosure Policy) alapján a ZDI kiadhatta volna az információkat, mint továbbra is 0-day biztonsági hiba. A ZDI ezt nem tette meg, visszatartotta az advisory publikálását és továbbra is várt a Samsunggal való kommunikációra. Itt megint hosszú idő telt el és több mint 130 nappal később (azaz összesen már több mint 310 nappal később), 2013. augusztus 4-én jelezte a ZDI a Samsungnak, hogy augusztus végén most már kiadják a sebezhetőségről szóló részleteket, mint 0-day biztonsági hibajelentést. Samsung erre ismét érdeklődni kezdett és további részleteket, valamint időpontok egyeztetését kérte a sebezhetőséggel kapcsolatban. ZDI megküldte a timelinet és támogatást kért. A Samsung azt állította, hogy együttműködik a biztonsági csapattal a sebezhetőséggel kapcsolatos helyzetjelentés tisztázása érdekében. Ezután a ZDI értesítette ismét a biztonsági csapatot két email címen is a közelgő 0-day közzététellel kapcsolatban, de nem érkezett válasz.

Augusztus végén ezért a ZDI kiadta a biztonsági hibáról az értesítőt:

(0Day) (Mobile Pwn2Own) Polaris Viewer DOCX VML Shape Tag Remote Code Execution Vulnerability

http://www.zerodayinitiative.com/advisories/ZDI-13-211/

Szerintem a Samsung ezért akár meg is érdemelne egy Pwnie díjat a Lamest Vendor Response kategóriában, ahogy Linus Torvalds és a Linux is megnyerte végül 2009-ben a folyamatos, "kiemelkedő" biztonsági hibakezeléseiknek köszönhetően...

( kmARC v | 2013. 09. 09., h – 18:21 )

Aki fejlesztett már Samsung okostelefonra (nem, négy aktivitit összekattingtatni az nem _samsungra_ fejlesztés), az nem lepődik meg azon, hogy egy területért felelős szakemberek milyen... "szakemberek".