Les périphériques avec des processeurs Qualcomm ont un Primary Bootloader (PBR) [chargeur de démarrage] qui démarre le système d’exploitation Android, mais héberge aussi un mode de chargement alternatif appelé mode EDL. Le mode EDL (Emergency Download Mode) qui est spécifique aux processeurs Qualcomm, autorise les fabricants (OEM) à forcer le flashage du système d’exploitation sur un périphérique. Plusieurs fabricants comme Oneplus et Xiaomi ont réalisé des outils qui utilisent le mode EDL et un protocole connu sous le nom de Firehose pour débriquer un périphérique, tandis que d’autres outils de sociétés telles que Nokia ont fuité. Firehose peut utiliser un certain nombre de commandes pour flasher un périphérique avec la possibilité de consulter l’intégralité de ce qu’il se trouve dans la mémoire de l’appareil. Les chercheurs en sécurité Roee Hay (@roeehay) et Noam Hadad de chez Aleph Research ont découvert des vulnérabilités critiques en utilisant ce mode, qui permet à un attaquant d’accéder en intégralité à un périphérique.
Il est important de noter que cet exploit nécessite un accès physique à l’appareil ! Par contre, cette faille semble impossible à être corrigée.
Les attaquants ont utilisé le niveau d’accès accordé au mode EDL pour contourner le démarrage sécurisé sur un Nokia 6, défaisant la chaîne de confiance et obtenant l’exécution complète du code sur chaque partie de la séquence de démarrage, y compris le système d’exploitation Android lui-même. Les chercheurs ont également réussi à déverrouiller et à rooter plusieurs appareils Xiaomi sans aucune perte de données.
Pour accéder au mode EDL, sur certains appareils, il suffit d’une combinaison de touches ou une commande fastboot, sur les Nokia, il faut shunté deux broches sur la carte mère (photo ci-dessous sur un Nokia 6) ou utiliser un câble USB spéciale où certaines broches sont shuntées (D+ et GND) pour indiquer au système de démarrer en mode EDL.
Les chercheurs ont donc réussi à accéder à l’intégralité d’un Nokia 6 ! Vous pouvez découvrir leur exploit et les explications (en anglais) sur : Exploiting Qualcomm EDL Programmers (1): Gaining Access & PBL Internals.
Via XDA