Os hackers do Google Project Zero publicaram em detalhes várias falhas de alta gravidade encontradas na plataforma Knox da Samsung, que protege os aparelhos Galaxy.

Embora o Trusted Boot do Android proteja a integridade do kernel durante a inicialização, ele não faz o mesmo depois que ele é inicializado e estiver em execução. Esta deficiência foi a razão pela qual a Samsung introduziu o seu hipervisor Knox, conhecido como Real-time Kernel Protection ou RKP, que utiliza o ARM TrustZone para criar um "mundo seguro".

Desde o lançamento do Knox em 2013, a plataforma foi certificada para uso interno em departamentos governamentais do Reino Unido e dos EUA, incluindo o DoD dos EUA e a NSA. Essas certificações indicariam que os mecanismos de defesa seriam sólidos, mas este não parece ser o caso.

De acordo com Gal Beniamini, do Project Zero, o hipervisor Knox projetado para proteger o kernel do Linux durante o tempo de execução pode ser subvertido de várias maneiras. Isso é bastante sério, pois comprometer o kernel permite a um invasor acessar dados do sistema, ocultar malware, alterar o comportamento do sistema ou assumir o controle dele.

Beniamini detalha quatro erros-chave que ele usou para passar pelas proteções de kernel do Knox em um Galaxy S7 edge, com o chipset Exynos da Samsung. Ele explica que desde o Knox v2.6, os dispositivos Samsung implementaram um recurso de mitigação de ataques chamado Kernel Address Space Layout Randomization (KASLR). Ele deveria evitar que um invasor preveja o endereço para o qual o kernel é carregado. No entanto, um simples erro de codificação da Samsung tornou possível calcular a localização.

O hacker explica que a maioria dos dispositivos Android implementa corretamente uma função conhecida como ktpr_restrict para ocultar o valor usando o especificador de formato anonymizing% pK, especificamente com um maiúsculo K. Como Beniamini destacou anteriormente, todos os ponteiros do kernel impressos usando% pK estão ocultos. No entanto, a Samsung "bastante divertida" usou um k minúsculo.

Beniamini detalha três outras mitigações do RKP que ele encontrou e vários passos recomendados que a Samsung poderia tomar para proteger a plataforma de futuros ataques.

A Samsung corrigiu os seis problemas do RKP relatados por Beniamini em seu patch de janeiro para o Android, e os lista como corrupção de memória, divulgação de informações, escalonamento de privilégios e erros de autenticação. Em outubro de 2016, foi a vez do grupo de pesquisadores do Viral Security Group em Israel encontrar três falhas de segurança críticas na plataforma.