刚刚,谷歌发现一个未修复的安卓0day 已遭利用。该 0day 存在于安卓操作系统的内核代码中,可被攻击者用于获取设备的根权限。
颇具讽刺意味的是,这个 0day 曾在2017年12月于安卓内核版本 3.18、4.14、4.4和4.9中被修复,但新版本被指易受攻击。
受影响设备
谷歌研究人员认为该漏洞影响如下运行安卓 8.x 及后续版本的安卓手机型号。
安卓9和安卓10预览版 Pixel 2
华为 P20
小米红米 5A
小米红米 Note 5
小米 A1
Oppo A3
摩托罗拉 Z3
Oreo LG 系列手机
三星 S7、S8、S9
研究人员表示,“利用需要很少或不需要每台设备自定义”,意味着它可适用于大量手机型号,尽管他们仅在上述受影响手机型号上通过手动审计验证了这一点。
详情及PoC
该漏洞的编号是 CVE-2019-2215。它存在于 android-msm-wahoo-4.4-pie 分支中(也有可能存在于其它地方)。它是 /drivers/android/binder.c的 binder 驱动中的 binder_线程结构的 wait member 函数释放后使用漏洞。
binder_poll() 传递可休眠的线程->wait等待队列。当使用epoll 的现成使用 BINDER_THREAD_EXIT 明确退出时,该等待队列被释放,但并未从相应的 epoll 数据结构中删除。当该进程随后退出时,epoll 清理代码尝试访问等待列表,从容导致释放后使用后果。
如下 PoC展示的是 KASAN 内核构建中的 UAF 崩溃。
#include<fcntl.h>#include<sys/epoll.h>#include<sys/ioctl.h>#include<unistd.h>#define BINDER_THREAD_EXIT 0x40046208ulintmain(){int fd, epfd;structepoll_eventevent = { .events = EPOLLIN };fd = open("/dev/binder0", O_RDONLY);epfd = epoll_create(1000);epoll_ctl(epfd, EPOLL_CTL_ADD, fd, &event);ioctl(fd, BINDER_THREAD_EXIT, NULL);}
被指和NSO 组织有关
该漏洞是由谷歌 Project Zero团队发现的,随后由谷歌威胁分析团队 (TAG) 证实。这两个团队曾在上个月发现了影响 iOS 用户的14个 0day 漏洞。不过这个安卓0day和这14个 iOS 0day 之间似乎并不相关。前者的详情目前是有限的。
谷歌 TAG团队认为这个安卓 0day 是以色列利用和监控工具的卖家 NSO 集团的手笔。该公司长久以来被指责向专制政权出售黑客工具,不过最近由于遭受的批评增多,该公司承诺会和滥用黑客工具监控无辜人员或反对党派人士的客户作斗争。
该公司否认了这个安卓 0day 出自他们之手。该公司的一名发言人表示,“NSO 过去未出售今后也不会出售利用或漏洞。这个利用和 NSO 没有关系,我们主要开发旨在帮助受许可限制的情报和执法部门开发用于挽救生命的产品。”
危险系数没那么高
好在这个 0day 并不像之前的 0day 那样危险。它并非远程代码执行漏洞,也就并非无需用户交互就能遭利用的 0day。攻击者利用这个漏洞前必须具备某些条件。研究员表示,“这个漏洞是一个本地提权漏洞,允许完全攻陷一台易受攻击的设备。如果该利用是通过 Web 传递的,需要和渲染器漏洞配对,因为该漏洞可通过沙箱访问。”
安卓开源项目的一名发言人表示,“这个问题被评为高危漏洞,但要利用需要安装一个恶意应用程序。任何其它向量如通过 web 浏览器要求和其它利用组成利用链。”
安卓团队表示,“我们已将问题告知安卓合作伙伴,补丁已存在于安卓通用内核 (Common Kernel) 中。Pixel 3和3a 设备并不受影响,Pixel 1 和2 设备将在十月更新中收到更新。”
谷歌 Project Zero 团队通常会给软件开发人员90天的期限来修复该漏洞,之后再发布详情和 PoC 利用代码,但鉴于该漏洞已遭在野利用,因此在收到漏洞报告7天后就将其公开。
原文链接
https://www.zdnet.com/article/google-finds-android-zero-day-impacting-pixel-samsung-huawei-xiaomi-devices/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
