作者:启明星辰ADLab

0x0 前言

最近,在进行 Android 源码审计的时候,发现了存着于高通声卡驱动中的一个条件竞争漏洞 CVE-2017-7368(CNVD-2017-10809,CNNVD-201704-037)。虽然审计的源码稍微有点过时,谷歌在六月份已经修复了该漏洞,但是整个漏洞发现的过程和漏洞的分析还是比较有意义的。本文首先介绍高通声卡的攻击面和攻击向量,然后详细分析该漏洞成因,最后给出 POC。

0x1 攻击面和攻击向量

Android 是基于 Linux 的移动操作系统,其基本架构如下图:

其中,驱动位于 Linux 内核层,驱动程序是一个软件组件,可以让操作系统和设备彼此通信。驱动程序会创建一些接口,允许用户从用户空间访问,以便控制硬件。如果驱动程序中存着漏洞,用户就可以从用户权限提升到内核权限,也就是 root 权限。

Linux 驱动程序一般会在 /dev 目录下创建一些文件,然后用户可以打开这些文件,通过 ioctl 函数控制硬件。其中,声卡创建的文件在 /dev/snd 目录下,如下图:

声卡驱动一般是由第三方厂商实现,如果采用高通的芯片,那么声卡驱动就是由高通提供,而第三方厂商的代码更容易出现一些安全漏洞。因此高通的声卡驱动是一个非常好的攻击面,ioctl 函数就是这个攻击面的攻击向量。

0x2 漏洞分析

出现漏洞的代码位于 sound/soc/msm/qdsp6v2/msm-lsm-client.c

用户空间通过打开 /dev/snd/ 目录下的对应文件,然后设置 ioctl 函数的 cmd 参数为 SNDRV_LSM_REG_SND_MODEL_V2,就会进入这块代码。

问题主要出现在 767 行和 775 行,第 767 行驱动程序为 ptrd->lsm_client 分配 snd_model_v2.data_size 长度的内核空间,然后将 snd_model_v2.data(用户空间数据)拷贝到分配的内核空间里。其中,snd_model_v2 是用户空间传入的参数,snd_model_v2.data_sizesnd_model_v2.data 都是用户可以控制的,ptrd->lsm_client 是一个全局变量。这段代码如果单线程执行,并不存在什么问题,分配了snd_model_v2.data_size 长度的内核空间,并从用户空间拷贝对应长度的用户空间数据,不会出现越界。但这里的 ptrd->lsm_client 是一个全局变量,如果多线程运行,就会出现一些问题。

这里,我们假设有两个线程,线程 A 和线程 B。

  1. 假设线程 A 请求分配 2000 个字节的空间,这时内核执行到 767 行为 ptrd->lsm_client 分配了 2000 字节,ptrd->lsm_client 的长度为 2000,这时线程 A 挂起,执行线程 B。

  2. 线程 B 请求分配 1000 个字节的空间,这时内核执行到 767 行为ptrd->lsm_client分配了 1000 字节,ptrd->lsm_client 的长度为 1000,这时线程 B 挂起,执行线程 A。

  3. 线程 A 继续执行到 775 行,进行数据拷贝,此时 ptrd->lsm_client 的长度已经变成了 1000,而线程 A 并不知情,依然拷贝 2000 个字节到 ptrd->lsm_client,这时就会出现一个堆的溢出。

但是,这种情况并不一定会出现,只有一定的概率出现。不过,如果请求的次数足够多,这种情况就会出现。

漏洞修补方案比较简单,增加一个锁即可。

0x3 poc

分析清楚漏洞的成因之后,就可以进行POC的构造。首先,打开 /dev/snd 下对应的文件。

然后,构造两个 snd_model_v2 结构体,一个的 data_size 设置为 2000,另一个设置为 1000。

最后,开启两个线程不断循环的进行请求,即可触发该漏洞。

0x4 总结

条件竞争的漏洞目前很难 fuzz 出来,只能靠安全人员的代码审计,所以这类漏洞还是会有很多。并且 Android 的碎片化导致安全更新很难全部部署到所有的手机上,仍有大量的手机面临着漏洞的风险。


启明星辰积极防御实验室(ADLab)

ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员。截止目前,ADLab通过CVE发布Windows、Linux、Unix等操作系统安全或软件漏洞近300个,持续保持亚洲领先并确立了其在国际网络安全领域的核心地位。实验室研究方向涵盖操作系统与应用系统安全研究、移动智能终端安全研究、物联网智能设备安全研究、Web安全研究、工控系统安全研究、云安全研究。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/364/