Android端末のルート権限を一瞬で奪取するムービーが公開される、Linuxの脆弱性「Dirty Pipe」を用いた攻撃が現実的に

2022年3月7日に公開されたLinuxカーネルに任意のファイルを上書きできる脆弱(ぜいじゃく)性「Dirty Pipe」を利用して「Pixel 6 Pro」や「Samsung S22」のルート権限を奪取する実証ムービーが新たに公開されました。Dirty Pipeを利用したAndroid端末への攻撃が現実味を帯びています。

Researcher uses Dirty Pipe exploit to fully root a Pixel 6 Pro and Samsung S22 | Ars Technica
https://arstechnica.com/information-technology/2022/03/researcher-uses-dirty-pipe-exploit-to-fully-root-a-pixel-6-pro-and-samsung-s22/

Dirty Pipeはプログラム間の通信を担う「パイプ」に起因する脆弱性で、Dirty Pipeが悪用されるとLinux搭載システムやLinuxをベースに開発されているAndroidを搭載した端末に対して「SSHキーの作成」「ルート権限を付与したユーザーの作成」といった攻撃が可能になってしまうことが報告されていました。

すでに最新版のLinuxには修正が施されているものの、Dirty Pipeの影響下にあるバージョンのAndroidを搭載したスマートフォンが市場に存在することが確認されています。以下の記事では、自分のスマートフォンがDirty Pipeの影響を受けるかどうかを調べる方法について解説しています。

Linuxカーネルに特権昇格可能な重大な脆弱性が発見される、Android端末にも影響あり - GIGAZINE

そして2022年3月15日に、セキュリティ研究者のFire30氏が実際にDirty Pipeを用いて最新アップデートを適用した「Pixel 6 Pro」と「Samsung S22」からルート権限を奪取する実証ムービーを公開しました。

まずは、「Pixel 6 Pro」で検証が行われます。ビルドIDの欄には「SQ1D.220205.004」と記されており、記事作成時点の最新ビルドであることが分かります。

Dirty Pipeを悪用した攻撃を行えるデモアプリを実行。

一瞬で処理が完了。ユーザー情報を表示する「id」コマンドを左側に置かれたマシンで実行するとルートユーザーとしてログインしていることを示す結果が表示されました。つまり、今回のデモアプリのような「Dirty Pipeを悪用するアプリ」を実行してしまうと、一瞬でルート権限を奪われて外部からあらゆる操作を実行できる状態にされてしまうというわけです。

カーネル情報を表示する「uname」コマンドを実行すると、Dirty Pipeの影響を受けるバージョン「5.10.43」のカーネルを使用していることが分かります。

さらに、Linuxのセキュリティ強化モジュール「SELinux」の使用状況を表示する「getenforce」コマンドを実行すると、ルート権限の奪取を拒絶しない「Permissive」という状態になっていることが示されました。

次に、バージョン「5.10.43」のカーネルがインストールされた「Samsung S22」でデモアプリを実行すると……

「Pixel 6 Pro」と同様に一瞬でルート権限の奪取が完了してしまいました。

Fire30氏によると、SELinuxの設定変更はDirty Pipeではなく「Fire30氏が開発した独自技術」によって実現されているとのことで、Dirty Pipe単体ではAndroid端末のルート権限奪取は困難な可能性があります。しかし、攻撃者がFire30氏と同様にSELinuxの設定を変更する方法を開発した場合、上記のムービーと同様にAndroid端末から一瞬でルート権限を奪取し、悪意あるプログラムの実行が可能となってしまいます。

Googleの担当者は、海外メディアのArs Technicaに対して「Androidの開発チームは問題を認識しており、パッチの適用方法について各デバイスメーカーに情報を提供しています」と述べたとのこと。しかし、修正がユーザーに提供される時期は明らかになっていません。