小路的博客

Android 11“魔形女”系列漏洞分析

背景介绍

  • 近日,京东探索研究院信息安全实验室的研究团队发现一项高危Android 11系统漏洞链,利用该漏洞链,黑客可能在用户毫无感知的情况下,获取用户手机中所有APP的隐私数据和权限,如获取任一社交软件的聊天记录,任意劫持邮箱、公司内部沟通软件、支付软件等等。
  • 听起来影响很大,但是往往最具威力的漏洞都有着很朴素的技术原理,魔形女系列漏洞正是如此。本文将在法律允许的范围内对魔形女系列漏洞进行技术解析。

故事的开始——CVE-2021-25485 of Samsung

  • 这是一个三星手机的漏洞,下面是三星官方的披露信息。 
    Path traversal vulnerability in FactoryAirCommnadManger prior to SMR Oct-2021 Release 1 allows attackers to write file as system UID via BT remote socket.
  • 根据这个信息,在Galaxy S21的相关组件中我们可以找到下面的代码,极有可能和该漏洞相关(其中省略了部分代码) 
    public void startSocket(Context context2) {
byte[] buffer = new byte[8192];
byte[] newBuffer = new byte[8192];
int maxLength = 0;
ACUtil.log_i(CLASS_NAME, "startSocket");
this.readSocket = new BufferedReader(new InputStreamReader(this.is, Charset.forName("UTF-8")));
ACUtil.log_i(CLASS_NAME, "readSocket", "readSocket: " + this.readSocket);
this.isRunning = true;
while (true) {
    try {
        int read = this.is.read(buffer);   // Read data from bluetooth socket
        //...
        ACUtil.log_i(CLASS_NAME, "Socket", "Receive " + read + " bytes: " + Support.Functions.byteArrayToHexString(buffer, read));
        if (this.isFileMode) {
            //...
        } else if (this.isMetaMode) {
            //...
        } else {
            System.arraycopy(buffer, 0, newBuffer, maxLength, read);
            maxLength += read;
            if (newBuffer[maxLength - 1] == 126) {
                //...
            } else if (maxLength > 1 && newBuffer[maxLength - 2] == 13 && newBuffer[maxLength - 1] == 10) {
                ACUtil.log_i(CLASS_NAME, "Socket", "string");
                byte[] fullBuffer2 = new byte[maxLength];
                System.arraycopy(newBuffer, 0, fullBuffer2, 0, maxLength);
                String str3 = new String(fullBuffer2, 0, maxLength, "UTF-8");
                if (str3.toUpperCase().contains("AT+FACMFILE")) {
                    this.isFileMode = true;
                    String subStr = str3.substring(str3.indexOf("=") + 1, str3.length() - 2);
                    this.fileName = subStr.split(",")[0];
                    this.fileLength = Integer.parseInt(subStr.split(",")[1]);
                    ACUtil.log_i(CLASS_NAME, "Socket", "name: " + this.fileName + " length: " + this.fileLength);
                    File file = new File(savePath);
                    if (!file.exists()) {
                        file.mkdirs();      // Create directory
                    }
                    File file2 = new File(savePath + this.fileName);
                    ACUtil.log_d(CLASS_NAME, "Socket", "Save: " + file2.getPath());
                    if (this.fileLength != 0) {
                        this.fos = new FileOutputStream(file2);   // Write file
                        this.mHandler.sendEmptyMessage(0);
                    }
                    maxLength = 0;
                    Arrays.fill(newBuffer, (byte) 0);
                } else {
                    //...
                }
            }
        }
    } catch (Exception e) {
        e.printStackTrace();
        BluetoothService.mHandler.sendEmptyMessageDelayed(1000, 3000);
    }
}
//...
}
  • 可以看到这里实际上是一个蓝牙的Socket接口,接收了相关的参数并进行的文件写入操作,这里面存在两个问题:
    • 该Socket接口并没有任何的权限校验
    • 在写入文件的过程中存在路径穿越问题,会导致任意文件写入
  • 同时更严重的问题是,这个应用使用的是system uid运行,同时SELinux标签是system_app,这是一个特权应用。

Double Kill——CVE-2021-25450 of Samsung

  • 在三星的相同组件中还存在第二个漏洞,下面是三星官方的披露信息。 
    Path traversal vulnerability in FactoryAirCommnadManger prior to SMR Sep-2021 Release 1 allows attackers to write file as system uid via remote socket.
  • 同样地我们找到了下面的代码,极有可能和该漏洞相关(其中省略了部分代码) 
    public Void doInBackground(Void... voids) {
File checkFolder;
int n;
try {
    this.dis = new DataInputStream(this.socket.getInputStream());
} catch (Exception e) {
    e.printStackTrace();
}
while (true) {
    ACUtil.log_d(CLASS_NAME, "doInBackground", "Wait for data...");
    try {
        //...
        while (true) {
            if (i >= count || isCancelled()) {
                break;
            }
            String fileName = this.dis.readUTF();  // Read file name
            String filePath = this.dis.readUTF();  // Read file path
            long transferSize = this.dis.readLong();  // Read file size
            ACUtil.log_d(CLASS_NAME, "doInBackground", "transferSize: " + transferSize);
            String filePath2 = savePath + this.uniqueNumber + "/" + folderCount + "/" + filePath;
            File file = new File(filePath2);
            ACUtil.log_d(CLASS_NAME, "doInBackground", "filePath: " + filePath2);
            ACUtil.log_d(CLASS_NAME, "doInBackground", "getCanonicalPath: " + file.getCanonicalPath());
            if (!(file.getCanonicalPath() + '/').equals(filePath2)) {
                cancel(true);
                break;
            }
            if (!file.exists()) {
                file.mkdirs();   // Create directory
            }
            File file2 = new File(filePath2 + fileName);
            if (!file2.getCanonicalFile().toString().equals(filePath2 + fileName)) {
                cancel(true);
                break;
            }
            ACUtil.log_d(CLASS_NAME, "doInBackground", "Save: " + file2.getCanonicalFile());
            this.fos = new FileOutputStream(file2);
            byte[] b = new byte[1024];
            long fileSize = transferSize;
            long totalSize = 0;
            while (fileSize > 0 && (n = this.dis.read(b, 0, (int) Math.min((long) b.length, fileSize))) != -1) {
                this.fos.write(b, 0, n);   // Write file
                fileSize -= (long) n;
                totalSize += (long) n;
            }
            ACUtil.log_d(CLASS_NAME, "doInBackground", "totalSize: " + totalSize);
            ACUtil.log_d(CLASS_NAME, "doInBackground", "Save: " + (i + 1) + "/" + count);
            this.context.sendBroadcast(new Intent(WifiCommandService.PROGRESS_CHANGE).putExtra("value", i + 1));
            this.fos.close();
            i++;
        }
        this.context.sendBroadcast(new Intent(WifiCommandService.PROGRESS_FINISH).putExtra("path", checkFolder.getPath()));
    } catch (RuntimeException e2) {
        throw e2;
    } catch (Exception e3) {
        e3.printStackTrace();
    }
}
ACUtil.log_d(CLASS_NAME, "doInBackground", "Data Input Stream is null");
try {
    if (this.fos != null) {
        this.fos.close();
        ACUtil.log_d(CLASS_NAME, "doInBackground", "fos close");
    }
    if (this.dis != null) {
        this.dis.close();
        ACUtil.log_d(CLASS_NAME, "doInBackground", "dis close");
    }
} catch (Exception e4) {
    e4.printStackTrace();
}
this.context.sendBroadcast(new Intent(WifiCommandService.PROGRESS_FINISH));
if (isCancelled()) {
    return null;
}
this.context.sendBroadcast(new Intent(WifiCommandService.START_FILE_RECEIVE));
return null;
}
  • 和上面的漏洞非常类似,这里是一个网络Socket接口,和漏洞披露的信息也是对的上的,也同样是接收了相关的参数并进行的文件写入操作,这里面也存在两个问题:
    • 该Socket接口并没有任何的权限校验
    • 在写入文件的过程中存在路径穿越问题,会导致任意文件写入
  • 当然,该代码依旧是特权应用的一部分,不再赘述。

Triple kill——CVE-2021-23243 of OPPO

  • 其实魔形女系列漏洞还包括一个OPPO的漏洞,但是由于我并没有OPPO的设备,并且对OPPO也不是很感兴趣,所以不深入分析,我估计原理和上两个漏洞应该也是非常类似的,都是system_app的路径穿越导致的任意文件写入。

如何将文件写入转化为代码执行

  • 说了这么多我们只是做到了system_app标签权限的任意文件写入,即使是通过远程进行攻击,我们也无法窃取设备上的任何数据,那么如何将这类漏洞转化为RCE(远程代码执行)呢?先看一个前人的案例
  • 该案例是Google Project Zero早在2015年的时候就发现的,当时是为了写另一个CVE-2015-7889漏洞的利用,也是三星的漏洞。这个方法是通过写/data/dalvik-cache下面的dex文件实现的,这样可以把文件写转化为代码执行 
    flame:/data/dalvik-cache # ls -lZ
total 51
drwx--x--x 2 root root u:object_r:dalvikcache_data_file:s0   3488 2021-11-04 10:22 arm
drwx--x--x 2 root root u:object_r:dalvikcache_data_file:s0  53248 2021-11-04 10:22 arm64
  • 当然了现在已经不能用了,因为现在已经限制了不允许app标签的进程写dalvikcache_data_file
  • 其实在2021年初的时候我手里也有其他Android厂商的几个类似的路径穿越漏洞(具体暂时无法进行披露),正在思考如何利用,因为Android里面文件系统的限制,只有/data分区是可写分区,其他的都需要有root权限并且进行remount才能操作,所以我当时的关注点也是/data分区下的文件。
  • 我们先确定一般的思路,就像是上面的利用一样,我们要企图去写入覆盖一个dex或者so文件,甚至是odex和vdex文件也行,因为这些文件是Android平台上的可执行文件,只要覆盖了如果其存在自动执行的场景,就能转化为代码执行。但是说起来容易做起来难,Android有严格的SELinux限制,我当时检查了所有可能包含这类文件的路径,都没有发现可以允许system_app标签写入的目录。直到…

Google的迷之操作——CVE-2021-0691

  • 这个漏洞表面上看起来还是很简单的:
 # Settings need to access app name and icon from asec
 allow system_app asec_apk_file:file r_file_perms;
-# Allow system_app (adb data loader) to write data to /data/incremental
-allow system_app apk_data_file:file write;
-
-# Allow system app (adb data loader) to read logs
-allow system_app incremental_control_file:file r_file_perms;
-
 # Allow system apps (like Settings) to interact with statsd
 binder_call(system_app, statsd)
  • apk_data_file正是各种应用的apk文件的标签,Google错误地允许system_app对apk_data_file执行文件写入操作。这个问题只在Android 11中存在,我当时攻击的目标,是基于Android 10的ROM,而这段代码是Android 11升级的时候才加入的。
-rw-r--r-- 1 system system  u:object_r:apk_data_file:s0          114976454 2021-11-12 16:01 base.apk
drwxr-xr-x 3 system system  u:object_r:apk_data_file:s0               3488 2021-11-12 16:01 lib
  • 后面的事情就顺理成章了,我们只需要覆盖任意一个会自启动的apk文件即可,后面就可以为所欲为了,就像开头说的一样。

后记

  • 以上漏洞均在Google 2021 #9公告,三星的2021 #9和#10公告中得到了修复,并且该套利用只影响Android 11版本,虽然对于Google来说这个问题非常严重,因为是最新的版本。对于最终用户而言,Android 11的手机占比约为24.3%,大概1/4的Android客户受影响(经评论区提示,已经根据Android 开发者信息分发中心的新数据进行更新)。

3 条评论

评论已关闭。