直擊MOSEC | 遠(yuǎn)程Root、分分鐘完成控制，安卓手機(jī)的“阿喀琉斯之踵”在哪？

“該漏洞具有‘通殺性’，能夠被攻擊者大范圍利用，獲取手機(jī)的控制權(quán)。”MOSEC 2021期間，來自盤古實(shí)驗(yàn)室的slipper和360 Alpha Lab韓洪立等多名安全研究員，在兩個(gè)不同的議題中，給出了類似的結(jié)論。盡管作為市面上使用最廣泛的移動(dòng)操作系統(tǒng)，安卓擁有大量的定制開發(fā)版本，但攻擊者一旦掌握底層系統(tǒng)漏洞，就可能在短時(shí)間攻破大量手機(jī)。

7月30日,由知名移動(dòng)安全團(tuán)隊(duì)盤古實(shí)驗(yàn)室和韓國POC主辦的2021MOSEC移動(dòng)安全技術(shù)峰會(huì)在上海隆重舉行。作為國內(nèi)極負(fù)盛名的移動(dòng)安全盛會(huì)，本次大會(huì)吸引到了數(shù)百名來自移動(dòng)安全領(lǐng)域的頂級(jí)白帽黑客以及行業(yè)專家，圍繞iOS、Android等主流移動(dòng)操作系統(tǒng)的漏洞挖掘、漏洞利用以及安全防護(hù)等話題，為業(yè)界奉獻(xiàn)了一場饕餮盛宴。

遠(yuǎn)程獲取手機(jī)Root權(quán)限

Binder是安卓生態(tài)中一個(gè)非常核心的組件，上層應(yīng)用與底層操作系統(tǒng)之間，很多都要通過與Binder驅(qū)動(dòng)來實(shí)現(xiàn)數(shù)據(jù)傳遞，可謂是應(yīng)用和操作系統(tǒng)之間的“交通樞紐”。安卓系統(tǒng)采用嚴(yán)格的權(quán)限分離模型，并從用戶層到內(nèi)核建立了層層防護(hù)來保護(hù)其安全。

“Binder作為安卓系統(tǒng)最為廣泛使用的進(jìn)程間通信機(jī)制，是安卓系統(tǒng)既核心又特殊的模塊，通過Binder可以搭建一條從沙箱直接通往內(nèi)核的橋梁，這也就意味著攻擊者可以直接從沙箱突破進(jìn)入內(nèi)核，獲取手機(jī)控制權(quán)。”韓洪立介紹到，“我們發(fā)現(xiàn)的這枚Binder漏洞，能夠與瀏覽器的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞進(jìn)行聯(lián)合使用，僅觸發(fā)一次就可遠(yuǎn)程獲取安卓設(shè)備的Root權(quán)限。”

值得關(guān)注的是，在2019年3月，Binder驅(qū)動(dòng)也曝出一個(gè)類似漏洞，目前市面上主流在用的2016年11月之后的內(nèi)核版本多數(shù)都會(huì)受到影響，成功Root后攻擊者可以獲得系統(tǒng)的最高權(quán)限，同時(shí)該漏洞可能被用于遠(yuǎn)程攻擊鏈，若是被黑產(chǎn)利用將可直接對用戶的個(gè)人隱私、財(cái)產(chǎn)安全甚至人身安全造成嚴(yán)重的危害。

韓洪立強(qiáng)調(diào)，Binder中的安全問題會(huì)將沙箱逃逸、Root、通殺這幾大屬性融為一體，使其擁有了與生俱來的強(qiáng)大威力，因此我們也將Binder漏洞稱為安卓系統(tǒng)的阿喀琉斯之踵。

利用GPU漏洞分分鐘獲取手機(jī)控制權(quán)

與大家熟知的電腦高性能顯卡一樣，智能手機(jī)同樣具備圖像處理器(GPU)，用于提升圖像處理性能。但與電腦顯卡型號(hào)各異不同的是，安卓設(shè)備的GPU型號(hào)相對比較單一，具備一定的通殺性，因此也成為了黑客攻擊的對象。如果GPU出現(xiàn)漏洞，也可以反過來獲得整個(gè)手機(jī)的控制權(quán)。

“當(dāng)消費(fèi)者們被手機(jī)芯片中GPU的強(qiáng)勁性能吸引時(shí)，黑客們的注意力也開始聚焦在GPU之上。”slipper說到，“針對Adreno和Mali這兩款安卓設(shè)備的主流GPU內(nèi)核驅(qū)動(dòng)近期修補(bǔ)的幾個(gè)漏洞，我們發(fā)現(xiàn)了一些無需適配的通用利用方法，以提升攻擊者的內(nèi)核權(quán)限，從而完成對用戶手機(jī)的控制。”

另外值得關(guān)注的是，2018年5月，漏洞安全實(shí)驗(yàn)室VUSec Lab披露攻擊Rowhammer的新途徑，這次該實(shí)驗(yàn)室利用了GPU與瀏覽器標(biāo)準(zhǔn)之一的WebGL，于兩分鐘就取得了Android手機(jī)的權(quán)限。

如影隨形的芯片級(jí)漏洞

2019年9月末，蘋果手機(jī)A系列芯片中被曝出存在bootrom(寫死在芯片)的漏洞。與Intel CPU曝出的幽靈和熔斷兩個(gè)硬件漏洞不同的是，bootrom而這塊區(qū)域是只讀的，這也就意味著這個(gè)漏洞是不能通過軟件更新手段進(jìn)行修復(fù)，可以說永久存在。鑒于漏洞的影響如此之大，國外也給了它一個(gè)十分生動(dòng)的名字——將軍(國際象棋)。

由于手機(jī)啟動(dòng)時(shí)，首先CPU會(huì)執(zhí)行的就是固化在芯片里的代碼，因此該漏洞會(huì)影響整個(gè)系統(tǒng)的啟動(dòng)鏈。

與此相仿，checkm30(checkmate30)議題要討論的也是bootrom的漏洞，只不過目標(biāo)對象是華為海思芯片的手機(jī)。據(jù)演講嘉賓、盤古實(shí)驗(yàn)室的安全研究員聞?dòng)^行介紹，攻擊者能夠利用該漏洞對手機(jī)進(jìn)行不斷調(diào)試，或者篡改部分?jǐn)?shù)據(jù)。不過據(jù)了解，華為在新產(chǎn)品和老產(chǎn)品里面均進(jìn)行了修復(fù)。

除安卓相關(guān)議題之外，安全研究人員還帶來了iOS等其他方向的精彩議題。

據(jù)悉，MOSEC移動(dòng)安全技術(shù)峰會(huì)自2015年在國內(nèi)首次舉辦以來,立足于高質(zhì)量的安全技術(shù),覆蓋iOS、Android、Windows三大移動(dòng)平臺(tái),致力于分享移動(dòng)安全領(lǐng)域前沿性的技術(shù)議題及發(fā)展趨勢。因高質(zhì)量的安全技術(shù)分享,每年大會(huì)都贏得與會(huì)者及業(yè)內(nèi)一致好評,目前已經(jīng)成長為國內(nèi)安全技術(shù)峰會(huì)的重要風(fēng)向標(biāo),吸引全球最頂尖的網(wǎng)絡(luò)安全專家和白帽子黑客前來參會(huì)。