Как прошить Samsung одной картинкой через Zero-click атаку ?

МЕНЮ

Главная страница
Поиск
Регистрация на сайте
Помощь проекту
Архив новостей

ТЕМЫ

Новости ИИ

Голосовой помощник
Городские сумасшедшие
ИИ в медицине
ИИ проекты
Искусственные нейросети
Искусственный интеллект
Слежка за людьми
Угроза ИИ

Разработка ИИ

Атаки на ИИ
ИИ теория
Компьютерные науки
Машинное обуч. (Ошибки)
Машинное обучение
Машинный перевод
Нейронные сети начинающим
Психология ИИ
Реализация ИИ
Реализация нейросетей
Создание беспилотных авто
Трезво про ИИ
Философия ИИ

Внедрение ИИ

Big data
Генетические алгоритмы
Капсульные нейросети
Основы нейронных сетей
Промпты. Генеративные запросы
Распознавание лиц
Распознавание образов
Распознавание речи
Творчество ИИ
Техническое зрение
Чат-боты

Работа разума и сознание

Изучение сна
Изучение сознания
Нейроинтерфейс
Психология
Работа мозга
Работа памяти
Работа разума

Модель мозга

Модель мозга

Робототехника, БПЛА

Беспилотные автомобили
БПЛА
Робототехника

Трансгуманизм

Трансгуманизм

Обработка текста

Анализ социальных сетей
Компьютерная лингвистика
Лингвистика
Поисковые алгоритмы

Теория эволюции

Головной мозг
Нейронные сети
Поведение животных
Теория эволюции

Дополненная реальность

Виртулаьная реальность
Дополненная реальность

Железо

Интернет вещей
Квантовый компьютер
Нейронные процессоры
облачные вычисления
Суперкомпьютеры

Киберугрозы

Кибербезопасность

Научный мир

Методы исследования
Наука и образование
Семинары

ИТ индустрия

ИТ-гиганты
Новости ит

Разработка ПО

Разработка ПО
Теория алгоритмов

Теория информации

Кластеризация

Математика

Актуальная математика
Статистика
Теория вероятности
Теория информации
Теория хаоса

Цифровая экономика

Технология блокчейн
Цифровая экономика

Авторизация

RSS

RSS новости

2025-11-11 14:13

кибербезопасность

Тут исследователи из Unit 42 запилили разбор нового Android шпиона LANDFALL, который почти год эксплуатировал 0-day уязвимость CVE-2025-21042 в библиотеке обработки изображений libimagecodec.quram[.]so на устройствах Samsung.

Вся цепочка начинается со специально сформированного и отправленного DNG-файла (raw-формат на базе TIFF). В конец этого файла просто приклеен ZIP-архив. Уязвимость в библиотеке libimagecodec позволяет извлечь из этого архива два исполняемых файла формата ELF (b[.]so загрузчик) и l[.]so манипулятор политик SELinux).

Основной компонент, b[.]so (64-битная разделяемая библиотека) сразу после загрузки проверяет переменные окружения на предмет LD_PRELOAD, чтобы избежать наследования, определяет свои права (root или нет) и начинает действовать. Он читает из себя зашифрованный JSON-конфиг с адресами командных серверов, ключами и идентификаторами, а затем соединяется с серверами управления. Если запущен от root, он пытается смонтировать tmpfs в своей рабочей директории, чтобы все артефакты жили в оперативной памяти.

Теперь понятно, почему параноики отключают автозагрузку медиа. Они не трафик экономят, они от RCE через libjpeg защищаются.

Общение с командным сервером идет по HTTPS на нестандартный порт. Первичный POST-запрос содержит детальный отпечаток устройства и самого зловреда. В ответ сервер присылает следующий этап в виде сжатого XZ-архива. Загрузчик распаковывает его в файл dec_a[.]so и выполняет, используя механизм LD_PRELOAD и запускет системную утилиту /system/bin/id (классика ?). Это позволяет внедрить зловред в новый процесс.

Второй компонент, l[.]so, (движок для манипуляции политиками SELinux) он не содержит жестко прописанных правил, а умеет на лету парсить и загружать новые политики из внешнего источника, изменяя их прямо в памяти. Это дает зловреду возможность обходить системные ограничения безопасности и обеспечивать себе постоянное присутствие в системе.

В коде найдены еще прикольные функции. Там есть код для мониторинга директории, поиска последних сделанных фото в DCIM, обхода фреймворков для отладки и реверс-инжиниринга, etc.

Теперь, когда у очередного топ-менеджера утекут данные, он будет клясться, что ничего не нажимал. И впервые будет говорить правду

Источник: vk.com



		Как прошить Samsung одной картинкой через Zero-click атаку ?
МЕНЮ Главная страница Поиск Регистрация на сайте Помощь проекту Архив новостей ТЕМЫ Новости ИИ Голосовой помощник Городские сумасшедшие ИИ в медицине ИИ проекты Искусственные нейросети Искусственный интеллект Слежка за людьми Угроза ИИ Разработка ИИ Атаки на ИИ ИИ теория Компьютерные науки Машинное обуч. (Ошибки) Машинное обучение Машинный перевод Нейронные сети начинающим Психология ИИ Реализация ИИ Реализация нейросетей Создание беспилотных авто Трезво про ИИ Философия ИИ Внедрение ИИ Big data Генетические алгоритмы Капсульные нейросети Основы нейронных сетей Промпты. Генеративные запросы Распознавание лиц Распознавание образов Распознавание речи Творчество ИИ Техническое зрение Чат-боты Работа разума и сознание Изучение сна Изучение сознания Нейроинтерфейс Психология Работа мозга Работа памяти Работа разума Модель мозга Модель мозга Робототехника, БПЛА Беспилотные автомобили БПЛА Робототехника Трансгуманизм Трансгуманизм Обработка текста Анализ социальных сетей Компьютерная лингвистика Лингвистика Поисковые алгоритмы Теория эволюции Головной мозг Нейронные сети Поведение животных Теория эволюции Дополненная реальность Виртулаьная реальность Дополненная реальность Железо Интернет вещей Квантовый компьютер Нейронные процессоры облачные вычисления Суперкомпьютеры Киберугрозы Кибербезопасность Научный мир Методы исследования Наука и образование Семинары ИТ индустрия ИТ-гиганты Новости ит Разработка ПО Разработка ПО Теория алгоритмов Теория информации Кластеризация Математика Актуальная математика Статистика Теория вероятности Теория информации Теория хаоса Цифровая экономика Технология блокчейн Цифровая экономика Авторизация RSS RSS новости		2025-11-11 14:13 кибербезопасность Тут исследователи из Unit 42 запилили разбор нового Android шпиона LANDFALL, который почти год эксплуатировал 0-day уязвимость CVE-2025-21042 в библиотеке обработки изображений libimagecodec.quram[.]so на устройствах Samsung. Вся цепочка начинается со специально сформированного и отправленного DNG-файла (raw-формат на базе TIFF). В конец этого файла просто приклеен ZIP-архив. Уязвимость в библиотеке libimagecodec позволяет извлечь из этого архива два исполняемых файла формата ELF (b[.]so загрузчик) и l[.]so манипулятор политик SELinux). Основной компонент, b[.]so (64-битная разделяемая библиотека) сразу после загрузки проверяет переменные окружения на предмет LD_PRELOAD, чтобы избежать наследования, определяет свои права (root или нет) и начинает действовать. Он читает из себя зашифрованный JSON-конфиг с адресами командных серверов, ключами и идентификаторами, а затем соединяется с серверами управления. Если запущен от root, он пытается смонтировать tmpfs в своей рабочей директории, чтобы все артефакты жили в оперативной памяти. Теперь понятно, почему параноики отключают автозагрузку медиа. Они не трафик экономят, они от RCE через libjpeg защищаются. Общение с командным сервером идет по HTTPS на нестандартный порт. Первичный POST-запрос содержит детальный отпечаток устройства и самого зловреда. В ответ сервер присылает следующий этап в виде сжатого XZ-архива. Загрузчик распаковывает его в файл dec_a[.]so и выполняет, используя механизм LD_PRELOAD и запускет системную утилиту /system/bin/id (классика ?). Это позволяет внедрить зловред в новый процесс. Второй компонент, l[.]so, (движок для манипуляции политиками SELinux) он не содержит жестко прописанных правил, а умеет на лету парсить и загружать новые политики из внешнего источника, изменяя их прямо в памяти. Это дает зловреду возможность обходить системные ограничения безопасности и обеспечивать себе постоянное присутствие в системе. В коде найдены еще прикольные функции. Там есть код для мониторинга директории, поиска последних сделанных фото в DCIM, обхода фреймворков для отладки и реверс-инжиниринга, etc. Теперь, когда у очередного топ-менеджера утекут данные, он будет клясться, что ничего не нажимал. И впервые будет говорить правду Источник: vk.com Комментарии:

Как прошить Samsung одной картинкой через Zero-click атаку ?

Комментарии: