作者:京东安全 Dawn Security Lab
原文链接:https://dawnslab.jd.com/mystique/#more

什么是魔形女漏洞?

“魔形女”漏洞展示了一个此前未曾发现的新的攻击路径,在最新的安卓11(漏洞发现时最新的Android版本)上能够稳定打破安卓应用沙箱防御机制。通过多个零日漏洞组合,攻击者的零权限恶意应用程序可以在用户无感知的情况下绕过安卓应用沙箱,攻击任何其他应用,如Facebook、WhatsApp等。读取应用程序的数据,获取应用权限。我们给这条链命名“魔形女”源于著名的漫威漫画人物,因为它拥有类似的能力。

是远程代码执行漏洞吗?

不是,“魔形女”本身是一个本地权限提升漏洞。但可与其他远程漏洞相结合,例如可配合另外一个我们发现的RCE漏洞: CVE-2021-0515(该漏洞会另行介绍)。

漏洞修复了吗?

是的。漏洞已经报送给各个相关厂商,并得到了公开致谢。已公开的漏洞编号为:CVE-2021-0691, CVE-2021-25450, CVE-2021-0515, CVE-2021-25485, CVE-2021-23243等。安卓12系统和2021年9月安全补丁版本以上的安卓11系统已修复该漏洞,部分厂商也已在更早前backport了对应的补丁。您可用我们提供的检测工具来检测您的系统是否被该漏洞攻击。

历史上出现过类似的漏洞吗?这个漏洞有什么特殊的价值?

安卓历史上也偶尔出现过能够获取所有APP隐私数据和权限的用户态漏洞,但随着近年来安卓防御机制的增强和代码质量的提高,能达到类似攻击效果的漏洞可谓凤毛麟角,而本次利用原本固若金汤的安卓沙箱防御机制的微小缺陷,结合各大手机厂商设备中零日漏洞组合设计的”魔形女“漏洞链,从用户侧打破了App包安装后包文件只读的默认假设。

这个漏洞跟手机硬件相关吗?影响范围多大?

不相关,所有未打补丁的安卓11手机都会受到此漏洞的影响,鸿蒙不受影响(沸腾了!)。根据版本装机量统计,目前全球约有至少8亿的Android设备受影响。

绕过了什么安全防御机制?

安卓沙箱防御:每个安卓应用都运行在自己的沙箱内,应用代码是在与其他应用隔离的环境中运行,数据也默认互相隔离;默认情况下,每个应用都在其自己的Linux进程内运行,其他应用不能访问,并受MAC SELinux机制沙箱限制,就像酒店的每个房间都有自己的钥匙,不同房间的客人不能默认互相串门一样。同时,针对内存破坏漏洞还有ASLR、Stack cookie甚至CFI等机制防御。

魔形女漏洞绕过了这些防线,获得了酒店房间的万能钥匙

致谢

CVE-2021-0691:  A-188554048 EoP 11 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0691)
CVE-2021-0515:  A-167389063 RCE 8.1, 9, 10, 11 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0515)
SVE-2021-21943 (CVE-2021-25450): Affected versions: O(8.1), P(9.0), Q(10.0), R(11.0) (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25450)
SVE-2021-22636 (CVE-2021-25485): Affected versions: Q(10.0), R(11.0) (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25485)
CVE-2021-23243 EoP (https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-23243)

Android致谢:https://source.android.com/security/overview/acknowledgements
三星致谢:https://security.samsungmobile.com/securityUpdate.smsb
Oppo致谢:https://security.oppo.com/cn/noticeDetail?notice_only_key=20211632987608199

行业专家点评(排名不分先后)

  • 徐昊 Pangu Team/犇众信息联合创始人兼CTO

该研究成果向我们展示了串联漏洞的攻击威力。通过AOSP中的一行变更产生的逻辑隐患,再结合不同厂商的前置漏洞利用,可以达到读取APP数据、注入APP代码执行等非常有实际价值的攻击。

  • 王琦(大牛蛙) KEEN和GeekPwn创办人

Mystique漏洞特点准通杀、影响面广、利用稳定。类似的漏洞公开发现的已经很少,且因角度新颖即使在野利用也不易被发现。安卓生态会因为这种遗珠式漏洞的修复变得更加安全。

  • 陈良 著名安全研究专家,三度“世界破解大师”(Master of PWN)

这是一种在安卓框架下非常新颖的攻击模式,可以隐蔽的窃取用户隐私甚至控制手机。

检测工具

我们提供的检测工具和SDK可供使用者检测

  1. 自己的手机是否曾被该漏洞的攻击代码攻击过
  2. 开源链接:https://github.com/DawnSecurityLab/Mystique_Detection_SDK 结果仅供参考,可能有不准确的地方。如有疑虑请联系我们 dawnsecuritylab # jd.com

下载链接

自动化漏洞挖掘框架

自动化漏洞挖掘框架是京东安全自研的自动化/半自动化漏洞挖掘框架,基于人工智能的静态程序分析和动态模糊测试技术,结合专家经验,可对泛IoT设备/系统、APP等进行全面而深入的漏洞挖掘和隐私风险发现,从源头上及时发现并切断风险。仅在上半年我们使用该框架挖掘了数十个CVE,此次魔形女漏洞的发现即借助了该框架的能力。

现框架开放内测中,有兴趣的研究团队/企业,欢迎垂询实验室邮箱 dawnsecuritylab # jd.com

研究成果发表和细节披露计划

为了保护终端用户,鉴于修复情况,我们不会立即发布漏洞细节,我们会在11月份的相关会议上发表和披露该项研究细节。敬请期待。

视频请点此处


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1801/