一、小白劇場
小白:東哥,現在網購真是太方便、划算了。
大東:沒錯,網際網路和數字貨幣讓我們能夠足不出戶地了解世界,也能夠足不出戶地買到我們想要的東西。
小白:我現在已經離不開網絡了,用的東西基本都是從網上的購物APP買的。
大東:小白,說起電商APP來,你最近有沒有用過電商APP啊?
小白:沒有啊,但是我手機里有這個軟體,有一段時間沒用了。東哥,為什麼突然這麼問?
大東:你不知道嗎?最近有一個安全研究團隊發表了一篇報告,說這個APP疑似能提權控制手機,從而繞過隱私合規監管,收集用戶的各種信息。
小白:什麼?真的假的?哪些信息都被收集了?
大東:報告裡說,其收集的用戶隱私信息包括但不限於社交媒體帳戶資料、位置信息、WiFi信息、基站信息甚至是路由器信息等等。
小白:天哪,那不是相當於把我的所有網絡活動都暴露給他們了嗎?他們要這些信息幹什麼?
大東:可能是為了隱蔽安裝,提升裝機量,並使用戶無法卸載程序。也可能是為了攻擊競爭對手、竊取用戶隱私數據,反正肯定不是什麼好事。
小白:這可太恐怖了,我現在就去卸載程序。
大東:這個事情警示我們作為普通用戶,在享受網絡便利的同時也要提高自己的安全意識和防範能力。畢竟,在網際網路上沒有絕對的隱私和安全。
小白:那東哥,這個APP是怎樣實現提權的呢?
二、手機漏洞利用鏈
大東:這個要追溯到2022 年,Google 的 Project Zero 發布了一個在野漏洞利用的分析,警告攻擊者已經瞄準各手機廠商的 OEM 代碼部分,挖掘出其中的脆弱點和漏洞,組合出了一套完整的提權攻擊 Exploit。
小白:一套提權攻擊?難道利用的漏洞不止1個嗎?
大東:沒錯,Project Zero 分析的漏洞利用鏈包含四個部分,完全由公司代碼中的漏洞組成。
小白:那第一步是利用的什麼漏洞呢?能達成什麼樣的效果呀?
大東:第一步攻擊者利用了漏洞 (CVE-2021-25337),這是一個 system_server 中導出的 semclipboardprovider 所存在的任意文件讀寫,允許攻擊者以 untrusted_app 身份讀寫 users_system_data_file,也就是一般 system_app 的私有數據文件。
小白:只是讀取數據的話應該無法提權吧,後續攻擊者是怎麼做的呢?
大東:第二步,攻擊者參考了 TTS 漏洞研究成果,利用 TTS 中從自身配置文件加載任意動態連結庫的能力,將第一個漏洞轉化為了一個 system_app 提權漏洞。
小白:這攻擊者可夠高端的,參考該漏洞研究成果來攻擊。
大東:沒錯,而在攻擊者獲取了 system_app 權限的代碼執行能力後,攻擊者執行最後兩步,向內核進發。
小白:拿下內核以後就完成真正的提權了吧,攻擊者是怎麼做的呢?
大東:首先,攻擊者將手機設備中未更新的 Mali GPU 驅動內核信息泄露漏洞 (CVE-2021-25369) ,和手機自己的 kmsg 泄露「特性」組合利用,最終獲得內存基址和 addr_limit 地址。
小白:簡直防不勝防啊,誰能想到這一步攻擊者居然還利用到了手機系統的特性呢。
大東:黑客就是會通過你想不到的方式從你想不到的地方攻擊系統。
小白:最後,攻擊者是利用哪個漏洞與內核信息泄露漏洞結合提權的呢?
大東:攻擊者最後使用 DECON driver 中的 UAF 漏洞 (CVE-2021-25370), 結合堆風水,最終,利用 signalfd 系統調用修改 addr_limit,轉化為內核任意地址讀寫,完成提權。至此,一套完整的提權攻擊 Exploit 全部完成。
小白:這可太精妙了,一環扣一環啊,東哥,這些漏洞現在已經修復了嗎?我有點慌。
大東:截至目前,上述攻擊所涉及漏洞已全部修復。
提權攻擊涉及的三星漏洞信息(圖片來自網絡)
小白:東哥,我不太明白,這個跟我們前面說的APP提權非法獲取隱私數據有什麼關係?
大東:其實OEM 漏洞攻擊是一個很典型的案例,從這個案例可以看出,與 AOSP、上游 Kernel 的漏洞挖掘難度相比,手機廠商 OEM 代碼部分的漏洞挖掘難度要低很多,且利用通常也相當穩定。所以我們經常可以看到,各種間諜軟體的作者會頻繁利用手機 OEM 代碼漏洞作惡。
小白:東哥,打斷一下,這個AOSP是什麼意思?
大東:AOSP是「Android Open-Source Project」的縮寫,中文名稱為Android 開放原始碼項目,它相當於原始碼。
小白:明白了。那我們繼續前面的話題吧,難道這次APP提權攻擊也是利用的OEM代碼漏洞嗎?
三、電商APP如何提權竊取用戶信息?
大東:該廠商持續挖掘新的安卓 OEM 相關漏洞,在其公開發布的 App 中實現對目前市場主流手機系統的漏洞攻擊。
小白:太黑暗了,身為服務公眾的廠商,居然做這種攻擊行為。這個廠商是利用什麼方法進行提權的呢?
大東:該網際網路廠使用的第一個黑客技術手段,是利用一個近年來看似默默無聞、但實際攻擊效果非常好的 Bundle 風水 - Android Parcel 序列化與反序列化不匹配系列漏洞,實現 0day/Nday 攻擊,從而繞過系統校驗,獲取系統級 StartAnyWhere 能力。
小白:東哥,這個Parcel是什麼?
大東:它是Android Framework 中一個核心的對象傳遞機制,那些希望被通過 Parcel 傳遞的對象需要定義 readFromParcel 和 writeToParcel 接口函數,並實現 Parcelable 接口。
小白:這個序列化與反序列化不匹配系列漏洞出現是因為接口函數的實現有缺陷嗎?
大東:沒錯,理論上來講,匹配序列化和反序列化函數應當是自反等效的,但系統 ROM 的開發者在編程過程中可能會出現不匹配的情況,例如寫入的時候使用了 writeLong,讀取的時候卻使用了 readint。
小白:這個應該不算是什麼大問題吧!
大東:這類問題在運行過程中一般不會引起注意,也不會導致崩潰或錯誤,但在攻擊者精心布局下,卻可最終利用 Settings 和 system_server 進程,將這個微小的錯誤轉化為 StartAnyWhere 提權。
小白:千里之堤也可潰於蟻穴,看來不能忽略這些小錯誤啊。
大東:Android 近年來累計已修復上百個這類漏洞,並在 Android 13 中對 Parcel 機製做了改革,杜絕了大部分此類攻擊面。
但對絕大部分未升級到 Android 13 的設備和用戶來說,他們仍處於危險之中。
小白:還好我的設備升級到了Android 13。東哥,利用反序列化漏洞提權後攻擊者接下來可以做什麼?
大東:下圖介紹了其漏洞利用鏈中的核心環節,在完成提權後,該 App 事實上已經完成了反客為主,通過 App 控制了用戶的整個手機系統。
漏洞利用鏈中的核心環節(圖片來自網絡)
小白:能控制手機系統,那就代表可以收集、竊取用戶的隱私信息了。
大東:不僅如此,該 App還使用了其他黑客技術手段。
小白:啊?還使用了什麼手段,不是已經可以竊取用戶信息了嗎?
大東:該 App使用的另一個手段是利用手機廠商 OEM 代碼中導出的 root-path FileContentProvider, 進行 System App 和敏感系統應用文件讀寫;進而突破沙箱機制、繞開權限系統改寫系統關鍵配置文件為自身保活,修改用戶桌面(Launcher)配置隱藏自身或欺騙用戶實現防卸載。
小白:玩得可真花啊,居然還能這麼幹,真是開眼界了。
大東:還有更厲害的呢。它還可以通過覆蓋動態代碼文件的方式劫持其他應用注入後門執行代碼,進行更加隱蔽的長期駐留;甚至還實現了和間諜軟體一樣的遙控機制,通過遠端「雲控開關」控制非法行為的啟動與暫停,來躲避檢測。
小白:遙控非法行為的啟動與暫停,這想得可真周到啊。
大東:總結一下就是該網際網路廠商通過上述一系列隱蔽的黑客技術手段,在其合法 App 的背後,達到了:隱蔽安裝,提升裝機量;偽造提升 DAU/MAU;用戶無法卸載;攻擊競爭對手 App;竊取用戶隱私數據;逃避隱私合規監管等各種涉嫌違規違法目的。
小白:難道這種行為沒人發現並投訴嗎?
大東:目前,已有大量終端用戶在多個社交平台上投訴反饋:該 App 存在莫名安裝、泄漏隱私、無法卸載等問題。
小白:唉,這種非法行為直接讓本該守護安全的白帽,被濫用成侵害用戶的黑帽!太可惡了。
大東:在手機設備複雜的供應鏈中,發現漏洞、修復漏洞、防範漏洞本就不易。若還有不法者利用漏洞牟利,將白帽變成黑帽,更會讓用戶和行業受傷。
小白:這個事件是不是也可以算成一種另類的供應鏈攻擊。
大東:也可以這麼理解,這次的事件可以當成供應鏈程序源頭污染,不過他跟2022年發生的NODE-IPC供應鏈投毒事件不同的是,他沒有在程序中故意引入漏洞,而是在程序中植入漏洞利用代碼。
小白:我記得2021年有類似的供應鏈污染事件,詳見文章《供應鏈感染?這款名為「老裁縫」的激活工具到底做了什麼?》
大東:小白,記得很清楚嘛!
小白:那肯定呀,東哥教的不能忘啊,針對這類事件,應該怎樣針對性防禦呢?
大東:首先肯定是手機廠商需要更重視自研代碼的安全,削減不必要的、可能被攻擊者利用的攻擊面;然後監管機構需要針對此類行為進行治理,根據現有法律法規嚴格執法、監管,嚴肅問責,以構建一個更安全的數字環境。
小白:嗯嗯,個別公司的錯誤不該連帶整個行業背負罵名,更不該由我們用戶承擔後果。
四、小白內心說
現在有公司打破底線,將白帽黑客作為武器,利用他們掌握的黑客技術尋找並利用漏洞,為自身牟取非法利益。
應當回歸守護安全的初心,讓技術發揮應有的正向作用。
漏洞研究如同釘釘子,以破為手段,但以固為目的。
技術的價值轉化都應該在法律和道德的約束下展開。
參考資料:
1. 「 深藍洞察 」2022 年度最「不可赦」漏洞https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw
2. A Very Powerful Clipboard: Analysis of a Samsung in-the-wild exploit chain
3. https://googleprojectzero.blogspot.com/2022/11/a-very-powerful-clipboard-samsung-in-the-wild-exploit-chain.html
來源:中國科學院信息工程研究所
本帳號稿件默認開啟微信「快捷轉載」
轉載請註明出處
其他渠道轉載請聯繫 weibo@cashq.ac.cn