背景介绍

• 近日，京东探索研究院信息安全实验室的研究团队发现一项高危Android 11系统漏洞链，利用该漏洞链，黑客可能在用户毫无感知的情况下，获取用户手机中所有APP的隐私数据和权限，如获取任一社交软件的聊天记录，任意劫持邮箱、公司内部沟通软件、支付软件等等。
• 听起来影响很大，但是往往最具威力的漏洞都有着很朴素的技术原理，魔形女系列漏洞正是如此。本文将在法律允许的范围内对魔形女系列漏洞进行技术解析。

故事的开始——CVE-2021-25485 of Samsung

• 这是一个三星手机的漏洞，下面是三星官方的披露信息。

  Path traversal vulnerability in FactoryAirCommnadManger prior to SMR Oct-2021 Release 1 allows attackers to write file as system UID via BT remote socket.

• 根据这个信息，在Galaxy S21的相关组件中我们可以找到下面的代码，极有可能和该漏洞相关（其中省略了部分代码）

  public void startSocket(Context context2) {
  byte[] buffer = new byte[8192];
  byte[] newBuffer = new byte[8192];
  int maxLength = 0;
  ACUtil.log_i(CLASS_NAME, "startSocket");
  this.readSocket = new BufferedReader(new InputStreamReader(this.is, Charset.forName("UTF-8")));
  ACUtil.log_i(CLASS_NAME, "readSocket", "readSocket: " + this.readSocket);
  this.isRunning = true;
  while (true) {
      try {
          int read = this.is.read(buffer);   // Read data from bluetooth socket
          //...
          ACUtil.log_i(CLASS_NAME, "Socket", "Receive " + read + " bytes: " + Support.Functions.byteArrayToHexString(buffer, read));
          if (this.isFileMode) {
              //...
          } else if (this.isMetaMode) {
              //...
          } else {
              System.arraycopy(buffer, 0, newBuffer, maxLength, read);
              maxLength += read;
              if (newBuffer[maxLength - 1] == 126) {
                  //...
              } else if (maxLength > 1 && newBuffer[maxLength - 2] == 13 && newBuffer[maxLength - 1] == 10) {
                  ACUtil.log_i(CLASS_NAME, "Socket", "string");
                  byte[] fullBuffer2 = new byte[maxLength];
                  System.arraycopy(newBuffer, 0, fullBuffer2, 0, maxLength);
                  String str3 = new String(fullBuffer2, 0, maxLength, "UTF-8");
                  if (str3.toUpperCase().contains("AT+FACMFILE")) {
                      this.isFileMode = true;
                      String subStr = str3.substring(str3.indexOf("=") + 1, str3.length() - 2);
                      this.fileName = subStr.split(",")[0];
                      this.fileLength = Integer.parseInt(subStr.split(",")[1]);
                      ACUtil.log_i(CLASS_NAME, "Socket", "name: " + this.fileName + " length: " + this.fileLength);
                      File file = new File(savePath);
                      if (!file.exists()) {
                          file.mkdirs();      // Create directory
                      }
                      File file2 = new File(savePath + this.fileName);
                      ACUtil.log_d(CLASS_NAME, "Socket", "Save: " + file2.getPath());
                      if (this.fileLength != 0) {
                          this.fos = new FileOutputStream(file2);   // Write file
                          this.mHandler.sendEmptyMessage(0);
                      }
                      maxLength = 0;
                      Arrays.fill(newBuffer, (byte) 0);
                  } else {
                      //...
                  }
              }
          }
      } catch (Exception e) {
          e.printStackTrace();
          BluetoothService.mHandler.sendEmptyMessageDelayed(1000, 3000);
      }
  }
  //...
  }

• 可以看到这里实际上是一个蓝牙的Socket接口，接收了相关的参数并进行的文件写入操作，这里面存在两个问题：
  • 该Socket接口并没有任何的权限校验
  • 在写入文件的过程中存在路径穿越问题，会导致任意文件写入
• 同时更严重的问题是，这个应用使用的是system uid运行，同时SELinux标签是system_app，这是一个特权应用。

Double Kill——CVE-2021-25450 of Samsung

• 在三星的相同组件中还存在第二个漏洞，下面是三星官方的披露信息。

  Path traversal vulnerability in FactoryAirCommnadManger prior to SMR Sep-2021 Release 1 allows attackers to write file as system uid via remote socket.

• 同样地我们找到了下面的代码，极有可能和该漏洞相关（其中省略了部分代码）

  public Void doInBackground(Void... voids) {
  File checkFolder;
  int n;
  try {
      this.dis = new DataInputStream(this.socket.getInputStream());
  } catch (Exception e) {
      e.printStackTrace();
  }
  while (true) {
      ACUtil.log_d(CLASS_NAME, "doInBackground", "Wait for data...");
      try {
          //...
          while (true) {
              if (i >= count || isCancelled()) {
                  break;
              }
              String fileName = this.dis.readUTF();  // Read file name
              String filePath = this.dis.readUTF();  // Read file path
              long transferSize = this.dis.readLong();  // Read file size
              ACUtil.log_d(CLASS_NAME, "doInBackground", "transferSize: " + transferSize);
              String filePath2 = savePath + this.uniqueNumber + "/" + folderCount + "/" + filePath;
              File file = new File(filePath2);
              ACUtil.log_d(CLASS_NAME, "doInBackground", "filePath: " + filePath2);
              ACUtil.log_d(CLASS_NAME, "doInBackground", "getCanonicalPath: " + file.getCanonicalPath());
              if (!(file.getCanonicalPath() + '/').equals(filePath2)) {
                  cancel(true);
                  break;
              }
              if (!file.exists()) {
                  file.mkdirs();   // Create directory
              }
              File file2 = new File(filePath2 + fileName);
              if (!file2.getCanonicalFile().toString().equals(filePath2 + fileName)) {
                  cancel(true);
                  break;
              }
              ACUtil.log_d(CLASS_NAME, "doInBackground", "Save: " + file2.getCanonicalFile());
              this.fos = new FileOutputStream(file2);
              byte[] b = new byte[1024];
              long fileSize = transferSize;
              long totalSize = 0;
              while (fileSize > 0 && (n = this.dis.read(b, 0, (int) Math.min((long) b.length, fileSize))) != -1) {
                  this.fos.write(b, 0, n);   // Write file
                  fileSize -= (long) n;
                  totalSize += (long) n;
              }
              ACUtil.log_d(CLASS_NAME, "doInBackground", "totalSize: " + totalSize);
              ACUtil.log_d(CLASS_NAME, "doInBackground", "Save: " + (i + 1) + "/" + count);
              this.context.sendBroadcast(new Intent(WifiCommandService.PROGRESS_CHANGE).putExtra("value", i + 1));
              this.fos.close();
              i++;
          }
          this.context.sendBroadcast(new Intent(WifiCommandService.PROGRESS_FINISH).putExtra("path", checkFolder.getPath()));
      } catch (RuntimeException e2) {
          throw e2;
      } catch (Exception e3) {
          e3.printStackTrace();
      }
  }
  ACUtil.log_d(CLASS_NAME, "doInBackground", "Data Input Stream is null");
  try {
      if (this.fos != null) {
          this.fos.close();
          ACUtil.log_d(CLASS_NAME, "doInBackground", "fos close");
      }
      if (this.dis != null) {
          this.dis.close();
          ACUtil.log_d(CLASS_NAME, "doInBackground", "dis close");
      }
  } catch (Exception e4) {
      e4.printStackTrace();
  }
  this.context.sendBroadcast(new Intent(WifiCommandService.PROGRESS_FINISH));
  if (isCancelled()) {
      return null;
  }
  this.context.sendBroadcast(new Intent(WifiCommandService.START_FILE_RECEIVE));
  return null;
  }

• 和上面的漏洞非常类似，这里是一个网络Socket接口，和漏洞披露的信息也是对的上的，也同样是接收了相关的参数并进行的文件写入操作，这里面也存在两个问题：
  • 该Socket接口并没有任何的权限校验
  • 在写入文件的过程中存在路径穿越问题，会导致任意文件写入
• 当然，该代码依旧是特权应用的一部分，不再赘述。

Triple kill——CVE-2021-23243 of OPPO

• 其实魔形女系列漏洞还包括一个OPPO的漏洞，但是由于我并没有OPPO的设备，并且对OPPO也不是很感兴趣，所以不深入分析，我估计原理和上两个漏洞应该也是非常类似的，都是system_app的路径穿越导致的任意文件写入。

如何将文件写入转化为代码执行

• 说了这么多我们只是做到了system_app标签权限的任意文件写入，即使是通过远程进行攻击，我们也无法窃取设备上的任何数据，那么如何将这类漏洞转化为RCE（远程代码执行）呢？先看一个前人的案例
• 该案例是Google Project Zero早在2015年的时候就发现的，当时是为了写另一个CVE-2015-7889漏洞的利用，也是三星的漏洞。这个方法是通过写/data/dalvik-cache下面的dex文件实现的，这样可以把文件写转化为代码执行

  flame:/data/dalvik-cache # ls -lZ
  total 51
  drwx--x--x 2 root root u:object_r:dalvikcache_data_file:s0   3488 2021-11-04 10:22 arm
  drwx--x--x 2 root root u:object_r:dalvikcache_data_file:s0  53248 2021-11-04 10:22 arm64

• 当然了现在已经不能用了，因为现在已经限制了不允许app标签的进程写dalvikcache_data_file
• 其实在2021年初的时候我手里也有其他Android厂商的几个类似的路径穿越漏洞（具体暂时无法进行披露），正在思考如何利用，因为Android里面文件系统的限制，只有/data分区是可写分区，其他的都需要有root权限并且进行remount才能操作，所以我当时的关注点也是/data分区下的文件。
• 我们先确定一般的思路，就像是上面的利用一样，我们要企图去写入覆盖一个dex或者so文件，甚至是odex和vdex文件也行，因为这些文件是Android平台上的可执行文件，只要覆盖了如果其存在自动执行的场景，就能转化为代码执行。但是说起来容易做起来难，Android有严格的SELinux限制，我当时检查了所有可能包含这类文件的路径，都没有发现可以允许system_app标签写入的目录。直到…

Google的迷之操作——CVE-2021-0691

• 这个漏洞表面上看起来还是很简单的：

 # Settings need to access app name and icon from asec
 allow system_app asec_apk_file:file r_file_perms;
-# Allow system_app (adb data loader) to write data to /data/incremental
-allow system_app apk_data_file:file write;
-
-# Allow system app (adb data loader) to read logs
-allow system_app incremental_control_file:file r_file_perms;
-
 # Allow system apps (like Settings) to interact with statsd
 binder_call(system_app, statsd)

• apk_data_file正是各种应用的apk文件的标签，Google错误地允许system_app对apk_data_file执行文件写入操作。这个问题只在Android 11中存在，我当时攻击的目标，是基于Android 10的ROM，而这段代码是Android 11升级的时候才加入的。

-rw-r--r-- 1 system system  u:object_r:apk_data_file:s0          114976454 2021-11-12 16:01 base.apk
drwxr-xr-x 3 system system  u:object_r:apk_data_file:s0               3488 2021-11-12 16:01 lib

• 后面的事情就顺理成章了，我们只需要覆盖任意一个会自启动的apk文件即可，后面就可以为所欲为了，就像开头说的一样。

后记

• 以上漏洞均在Google 2021 #9公告，三星的2021 #9和#10公告中得到了修复，并且该套利用只影响Android 11版本，虽然对于Google来说这个问题非常严重，因为是最新的版本。对于最终用户而言，Android 11的手机占比约为24.3%，大概1/4的Android客户受影响（经评论区提示，已经根据Android 开发者信息分发中心的新数据进行更新）。