手機攻擊解密──你不知道的漏洞威脅

2016-11-14 14:33 閱讀 2234 來源：智能電子集成評論區(qū)

為了支持不同的手機不同的芯片，需要進行驅(qū)動編寫給用戶提供相同的接口，導(dǎo)致廠商驅(qū)動的安全性比Android內(nèi)核本身的安全性差，廠商驅(qū)動為Android系統(tǒng)帶來了新的攻擊面新的漏洞。

　　長亭科技安全研究實驗室的實習(xí)生于晨升稍早前在第二屆中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會上，詳細(xì)說明了黑客會如何利用未公開漏洞ROOT掉一款最新款的流行手機。于晨升從Android系統(tǒng)架構(gòu)解析開始，解釋了手機的漏洞是如何被攻擊，以及該如何防范。

　　于晨升指出，Android系統(tǒng)架構(gòu)主要分為四層，即是：Application層、Framework層、Library層以及Kernel層。手機的自帶應(yīng)用在Application層，這一層從安裝到運行其權(quán)限最低。Framework層主要為Application層的應(yīng)用提供系統(tǒng)服務(wù)，隨后在安卓程序運行時，需要第三層Library層的支持，通過此層引入運行時所依賴的動態(tài)庫。

　　Kernel層為系統(tǒng)內(nèi)核層。特別是在Android系統(tǒng)第四層內(nèi)核層中包含許多廠商相關(guān)的驅(qū)動，例如顯卡、相機、觸摸屏的驅(qū)動等。于晨升表示，為了支持不同的手機不同的芯片，需要進行驅(qū)動編寫給用戶提供相同的接口，導(dǎo)致廠商驅(qū)動的安全性比Android內(nèi)核本身的安全性差，廠商驅(qū)動為Android系統(tǒng)帶來了新的攻擊面新的漏洞。因此，尋找手機漏洞，可以從這個層面出發(fā)。

漏洞分析

　　于晨升分享了CVE-2015-0569，CVE-2015-0570, CVE-2015-0571三個已知漏洞的利用思路和過程。他表示，這三個漏洞由slipper在2015年的GeekPwn上公開，存在于高通WLAN驅(qū)動中的棧溢出與堆溢出漏洞，漏洞由于在進行內(nèi)存拷貝之前未檢驗拷貝長度，導(dǎo)致緩沖區(qū)溢出。隨后高通第一時間修補了漏洞，在內(nèi)存拷貝操作之前進行了檢查，同時在調(diào)用對應(yīng)的代碼塊之前進行了權(quán)限檢查(CAP_NET_ADMIN)。

　　至于如何從發(fā)現(xiàn)漏洞到利用漏洞，再獲得手機root權(quán)限呢？于晨升解釋說，觸發(fā)漏洞后，就能夠達到的任意內(nèi)核地址寫0效果。從0開始的地址無法申請，寫函數(shù)指針寫0無法實現(xiàn)，所以需要提升條件，寫0但是不把所有的指針寫為0只是更改高位的，然后對地址進行操作。無KASLR，覆寫固定地址的指針高位是可行的。有時改寫函數(shù)值是不可行的，因為多數(shù)ARM64架構(gòu)的手機上PXN是打開的，不能直接申請一段用戶態(tài)內(nèi)存讓內(nèi)核去執(zhí)行shellcode。那么此時該如何利用呢？

　　為了解決以上問題，于晨升在鏈表頭數(shù)組inetsw中尋找到了突破口：

　　inetsw是linux內(nèi)核用于維護socket創(chuàng)建時所需要的信息的雙向鏈表，inet_register_protosw時，將特定類型的socket信息加入到鏈表中, inet_create時遍歷鏈表尋找對應(yīng)信息。包含proto, ops等結(jié)構(gòu)的指針，這些結(jié)構(gòu)中又含有許多的函數(shù)指針。

　　因此，如果在無PAN的條件下，覆寫inetsw中某一個next指針的高位，在用戶態(tài)偽造數(shù)據(jù)結(jié)構(gòu)，可創(chuàng)建一個完全被控制的socket，最終達到如下效果：

　　如圖所示，可以看到PC指針形成了一個特殊的指令，此時可以控制PC指令了。

　　那么，控制PC之后如何進一步利用呢？此時無法執(zhí)行用戶態(tài)代碼，只能利用內(nèi)核態(tài)代碼。我們注意到ioctl中r0, r1, r2寄存器可以控制，于是可以利用以下gadget達到任意地址讀寫：

0x000000000021b598 : str w1, [x2] ; ret
0x00000000001e246c : ldr x0, [x2] ; add w0, w0, #1 ; ret

　　通過任意地址讀寫，利用init_task可以找到當(dāng)前進程的task_struct（或者利用泄露sp的gadget，通過thread_info找到task_struct，更穩(wěn)定）。找到task_struct之后即可修改cred，將uid等改為0即可。同時patch掉selinux_enforcing，關(guān)掉selinux、mount -o rw,remount /system即可關(guān)掉/system分區(qū)寫保護。在實際利用中，發(fā)現(xiàn)mtk設(shè)備的內(nèi)核代碼是可寫的。在關(guān)閉selinux之后，某處的assert會失敗，可以利用上面的特性patch掉assert的代碼?；蛘咄ㄟ^修改修改當(dāng)前進程的sid，將其selinux的context修改為u:r:init:0。實際測試中，我們會發(fā)現(xiàn)u:r:init:0進程啟動/system/bin/sh后權(quán)限會降為u:r:init_shell:0。（本文來自長亭科技公開發(fā)布文件）

免責(zé)聲明：本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的，皆為無意。如您是字體廠商、圖片文字廠商等版權(quán)方，且不允許本站使用您的字體和圖片文字等素材，請聯(lián)系我們，本站核實后將立即刪除！任何版權(quán)方從未通知聯(lián)系本站管理者停止使用，并索要賠償或上訴法院的，均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索，將不予任何的法律和經(jīng)濟賠償！敬請諒解！

您可能也喜歡這些文章

參與評論

回復(fù)：

0/300

文明上網(wǎng)理性發(fā)言，評論區(qū)僅供其表達個人看法，并不表明a&s觀點。

0

推薦專題

熱門排行

關(guān)于我們

a&s傳媒是全球知名展覽公司法蘭克福展覽集團旗下的專業(yè)媒體平臺，自1994年品牌成立以來，一直專注于安全&自動化產(chǎn)業(yè)前沿產(chǎn)品、技術(shù)及市場趨勢的專業(yè)媒體傳播和品牌服務(wù)。從安全管理到產(chǎn)業(yè)數(shù)字化，a&s傳媒擁有首屈一指的國際行業(yè)展覽會資源以及豐富的媒體經(jīng)驗，提供媒體、活動、展會等整合營銷服務(wù)。

全球網(wǎng)站
法蘭克福
asmag.com
asmag.com.cn
中國臺灣智慧安防網(wǎng)

免責(zé)聲明：本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的，皆為無意。如您是字體廠商、圖片文字廠商等版權(quán)方，且不允許本站使用您的字體和圖片文字等素材，請聯(lián)系我們，本站核實后將立即刪除！任何版權(quán)方從未通知聯(lián)系本站管理者停止使用，并索要賠償或上訴法院的，均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索，將不予任何的法律和經(jīng)濟賠償！敬請諒解！

粵公網(wǎng)安備 44030402000264號

用戶
反饋

欧美,日韩中文字幕在线,男女性杂交内射妇女bbwxz,久久99久久9国产精品免费看,久久久久无码精品国产app,免费无码成人片

手機攻擊解密──你不知道的漏洞威脅