Robert Triggs / Autoridade Android
DR
- Uma vulnerabilidade na implementação do Android Bootloader da Qualcomm permite que código não assinado seja executado através da partição “efisp” em dispositivos Android 16.
- Isso é combinado com um descuido do comando “fastboot” para ignorar o SELinux e obter as permissões necessárias para desbloquear o bootloader.
- Isto está ainda mais associado à vulnerabilidade no Hyper OS da Xiaomi para permitir o desbloqueio do bootloader na série Xiaomi 17 e muito mais. Outros telefones Snapdragon 8 Elite Gen 5 também podem ser afetados, embora a cadeia de vulnerabilidades possa ser diferente.
O Snapdragon 8 Elite Gen 5 é o mais novo SoC carro-chefe da Qualcomm e é sem dúvida um dos melhores chips que você pode encontrar nos principais carros-chefe do Android. Estamos vendo a adoção generalizada do SoC em telefones como a série Xiaomi 17, o OnePlus 15 e até mesmo o recentemente lançado Galaxy S26 Ultra. Esta semana, surgiu uma nova exploração que parece afetar os SoCs da Qualcomm, principalmente o mais recente Snapdragon 8 Elite Gen 5, permitindo aos usuários desbloquear o bootloader em telefones que antes eram notoriamente difíceis de desbloquear.
Não quero perder o melhor de Autoridade Android?
O que é a exploração do Qualcomm GBL?
Uma nova exploração, apelidada de “Qualcomm GBL Exploit”, tem circulado pela Internet nos últimos dias. Embora a identidade do descobridor seja controversa, esta exploração parece ter como alvo um descuido sobre como o GBL (Generic Bootloader Library) é carregado em smartphones Android modernos executados em SoCs Qualcomm.
Resumindo, o Android Bootloader (ABL) específico do fornecedor da Qualcomm está tentando carregar o GBL da partição “efisp” em telefones fornecidos com Android 16. Mas, ao fazer isso, o Qualcomm ABL está apenas verificando se há um aplicativo UEFI nessa partição, em vez de verificar sua autenticidade como GBL. Isso abre a possibilidade de carregar código não assinado na partição efisp, que é executado sem verificação. Isso constitui o núcleo da exploração do Qualcomm GBL.
A exploração do GBL é encadeada com outras vulnerabilidades
No entanto, gravar na partição efisp não é possível por padrão porque o SELinux está configurado para Enforcing, que bloqueia ações não permitidas. Para permitir a gravação da partição efisp, o SELinux precisa ser configurado para o modo Permissivo, o que pode ser feito se você tiver acesso root. No entanto, o próprio SELinux permissivo é necessário para desbloquear o bootloader por meio do exploit GBL e obter privilégios de root, deixando você de volta à estaca zero.
É aqui que outra vulnerabilidade entra em jogo.
O ABL da Qualcomm aceita um comando fastboot chamado “fastboot oem set-gpu-preempção”Que aceita “0” ou “1” como o primeiro parâmetro. No entanto, este comando também parece aceitar argumentos de entrada involuntariamente sem qualquer verificação ou limpeza, permitindo adicionar arbitrariamente parâmetros personalizados à linha de comando. Este, por sua vez, é usado para anexar o “androidboot.selinux=permissivo”E mude o SELinux de Enforcing para Permissive.
Código
fastboot set-gpu-preemption 0 androidboot.selinux=permissiveO comando acima surpreendentemente muda o SELinux para Permissivo.
Usando o exploit GBL para desbloquear o bootloader da série Xiaomi 17
Robert Triggs / Autoridade Android
Após a reinicialização, o ABL carrega o aplicativo UEFI personalizado sem nenhuma verificação, graças à exploração do GBL. O aplicativo UEFI personalizado prossegue para desbloquear o bootloader configurando ambos está_desbloqueado e is_unlocked_critical para “1”, que é exatamente o que o “normal”desbloqueio fastboot oem”O comando também funciona.
Robert Triggs / Autoridade Android
A Xiaomi introduziu critérios estritos baseados em tempo, questionários e limitados por dispositivo para desbloqueio do bootloader em seus telefones destinados ao mercado chinês. O processo foi tão rigoroso que a maioria dos usuários acabou desistindo da ideia de desbloquear o bootloader – isto é, até agora.
Os relatórios indicam que a Xiaomi corrigirá em breve o aplicativo usado na cadeia de exploração, e talvez já tenha feito isso com as versões mais recentes do Hyper OS 3.0.304.0 lançadas ontem na China. A maioria das instruções que circulam pela Internet sobre essa cadeia de exploração aconselha os usuários a desconectar seus telefones da Internet e não atualizar o firmware.
A exploração do GBL funciona em outros telefones?
Não está imediatamente claro se a exploração do GBL pode funcionar em outros SoCs da Qualcomm além do Snapdragon 8 Elite Gen 5. No entanto, como o GBL está sendo introduzido com o Android 16, isso parece ser um requisito por enquanto.
A exploração do GBL deve afetar todos os OEMs (exceto a Samsung, que usa seu próprio S-Boot em vez do ABL da Qualcomm). No entanto, a cadeia de vulnerabilidades será diferente para alcançar um resultado bem-sucedido.
Pelo que posso ver, a Qualcomm já corrigiu as verificações do fastboot oem set-gpu-preempção comando. e até mesmo para outros comandos como fastboot oem set-hw-fence-value que não faziam parte da cadeia de exploração, mas poderiam ser explorados de forma semelhante. No entanto, não está claro se a exploração básica do GBL foi corrigida e, em caso afirmativo, se a correção foi propagada para os OEMs do Android e depois implementada para os consumidores.
Entramos em contato com a Qualcomm para saber mais sobre a exploração do GBL e se ela já foi corrigida. Atualizaremos este artigo quando recebermos uma resposta da empresa ou se obtivermos mais detalhes técnicos de outras fontes.
Obrigado ao desenvolvedor Roger Ortiz pela ajuda na montagem disso!
Obrigado por fazer parte da nossa comunidade. Leia nossa Política de Comentários antes de postar.
