PacSec2015 slides

1. Androidシステム·サービスの
脆弱性を用いた権限昇格
Guang Gong（グァン・ゴン）
Security Reacher
Qihoo 360
Twitter &Weibo:@oldfresher

2. アジェンダ
• Android Binderの仕組み
• 攻撃の概要
• Androidシステムサービスへファジング
• 脆弱性の発見
• CVE-2015-1528のエクスプロイト

3. Android Binderの仕組み
ユーザーモード
カーネルモード
プロセスA プロセスB
Binderドライバー /dev/binder

4. 攻撃の概要
高い権限のアプリ低い権限
のアプリ
ユーザーモード
カーネルモード Binderドライバー /dev/binder
サービス
マネー
ジャー
高い権限の
システム
サービス
system_server
surfaceflinger
mediaserver

5. 第一階層インターフェース
ggong@ggong-pc:~/develop/aosp/lol51$ adb shell service list
Found 97 services:
0 sip: [android.net.sip.ISipService]
1 phone: [com.android.internal.telephony.ITelephony]
2 isms: [com.android.internal.telephony.ISms]
3 iphonesubinfo: [com.android.internal.telephony.IPhoneSubInfo]
4 simphonebook: [com.android.internal.telephony.IIccPhoneBook]
5 isub: [com.android.internal.telephony.ISub]
6 nfc: [android.nfc.INfcAdapter]
……
81 activity: [android.app.IActivityManager]
82 user: [android.os.IUserManager]
83 package: [android.content.pm.IPackageManager]
89 media.camera: [android.hardware.ICameraService]
90 media.player: [android.media.IMediaPlayerService]
91 SurfaceFlinger: [android.ui.ISurfaceComposer]
96 android.security.keystore: [android.security.keystore]

6. 第二階層インターフェース
class IMediaPlayerService: public IInterface
{
public:
DECLARE_META_INTERFACE(MediaPlayerService);
virtual sp<IMediaRecorder> createMediaRecorder() = 0;
virtual sp<IMediaMetadataRetriever> createMetadataRetriever() = 0;
virtual sp<IMediaPlayer> create(const sp<IMediaPlayerClient>& client,
int audioSessionId = 0) = 0;
virtual sp<IOMX> getOMX() = 0;
virtual sp<ICrypto> makeCrypto() = 0;
virtual sp<IDrm> makeDrm() = 0;
virtual sp<IHDCP> makeHDCP(bool createEncryptionModule) = 0;
virtual sp<IMediaCodecList> getCodecList() const = 0;
virtual sp<IRemoteDisplay> listenForRemoteDisplay(const
sp<IRemoteDisplayClient>& client,
const String8& iface) = 0;
...
};

7. Chromeのサンドボックス
• Android内のChromeのサンドボックス
• public static void addService(String name,
IBinder service, boolean allowIsolated)
shell@hammerhead:/ $ ps -Z | grep chrome
u:r:untrusted_app:s0 u0_a52 com.android.chrome
u:r:untrusted_app:s0 u0_a52 com.android.chrome:privileged_process0
u:r:isolated_app:s0 u0_i0 com.android.chrome:sandboxed_process0

8. Chromeのサンドボックス
(gdb) plist svclist next
0xb6c4be38: u"activity"
$2569 = {next = 0xb6c50100, handle = 16, allow_isolated = 1, name = 0xb6c4be38}
0xb6c50118: u"user"
$2570 = {next = 0xb6c500d8, handle = 15, allow_isolated = 0, name = 0xb6c50118}
0xb6c500f0: u"package"
$2571 = {next = 0xb6c500b0, handle = 14, allow_isolated = 0, name = 0xb6c500f0}
0xb6c500c8: u"display"
$2572 = {next = 0xb6c50088, handle = 11, allow_isolated = 1, name = 0xb6c500c8}

9. 脆弱性
低い権限のアプリ 高い権限のシステムサービス
“平均化” “非平均化”
脆弱性

10. 比較
ユーザープロセス
カーネル
Androidアプリ
Androidシステム
サービス
セキュリティ
システ
パラメーターの検証
境界
ムコール
Binderコール
パラメーターの検証

11. The simplest Fuzzer

12. 開始
第一階層
インターフェースの
取得
第二階層
インターフェースの
取得
パラメータータイプ
の情報
メタデータの
生成
メタデータ
システム
サービスの
ファザー
インターフェースの
選択
トランスレーション
コードの選択
ランダムパラメーター
の構築
Binderlコールの
実施
ログ出力
はい
いいえ
終了？
終了

13. 確認されている脆弱性
CVE Android Bug ID 脆弱性の説明
CVE-2015-1474 18076253 GraphicBufferクラス内で整数オーバーフローが発生す
ることでローカルのアプリにシステム相当の権限に昇
格される
CVE-2015-1528 19334482 Android libcutils内の整数オーバーフローにより
system_server権限を取得される
CVE-2015-1525 18262893 ローカルのアプリがaudio_policyアプリをサービス不能
にできる
CVE-2015-1530 18226810 Android media内の整数オーバーフローにより
media_server権限を取得される
CVE-2015-1529 19385640 整数オーバーフローによりSoundTriggerHwService
をサービス不能にできる
CVE-2015-1527 19261727 IAudioPolicyService.cpp内のヒープ破損を引き起こす整
数オーバーフロー
CVE-2015-1526 ローカルのアプリがmedia_serverをサービス不能にで
きる
CVE-2015-1537 20222489 IHDCP内で整数オーバーフローが発生することでロー
カルのアプリにmedia_server相当の権限に昇格される

14. CVE-2015-1530

15. CVE-2015-1525

16. CVE-2015-1474

17. CVE-2015-1528
此漏洞在最新的Android 5.1上暂时还没修复

18. CVE-2015-1528
IGraphicProducerインターフェースの取得
setSidebandStreamによる攻撃
低い権限のプロセス
高い権限のプロセス
Binderドライバー

19. 権限昇格の流れ
通常のアプリ
IMediaPlayerServiceの取得
IMediaRecordの取得
IGraphicBufferProducerの取得
IWindowsManagerの取得
screenShotApplicationの呼出
IGraphicBufferProducerの取得
ISurfaceComposerの取得

20. 妨げとなる要因
• binderコールによるヒープ破損のエクスプロイト
妨げとなる要因 解決策
プロセス要求に対するスレッド
プール
N-1スレッドのハング
ASLR 情報のリーク
メモリー破損を引き起こすだけ je_mallocメタデータの上書き
DEP ROP
Selinux の制限によりSOをロード
できない
メモリーからsoをロードする
execmem, execmod ?

21. Je_mallocの機能
• 異なるチャンク内に異なるスレッドのメモリー
を割り当てる
je_mallocのチャンクディストリビューション

22. 処理要求によるスレッドプール
• ヒープ風水用のBinderスレッドのカウントをコントロール
mediaserverのBinderサーバースレッド

23. N-1スレッドのハング
• BufferQueue
– IGraphicBufferProducer
• setBufferCount
• attachBuffer
• requestBuffer
– IGraphicBufferConsumer
• BufferQueueはsystem_serverとsurfaceflingerと
mediaserverのすべてに使用されている

24. ブロックされたスレッドの
スタックバックトレース

25. ヒープ領域のリーク
• IGraphicBufferProducer->requestBuffer
继承

26. ヒープ領域のリーク
通常のネイティブハンドラ
通常のネイティブハンドラ
攻撃されたネイティブハンドラ
上書きされたネイティブハンドラ
未割当の領域

27. アドレスのリーク
• ヒープのアドレスのリーク
– リークしたヒープ領域内のヒープポインタを検索
• モジュールのアドレスのリーク
– 関数ポインタを検索
• スタックのアドレスのリーク
– pthread_internal_t structrueを検索

28. スタックのアドレスのリーク
• pthread_internal_t

29. 任意のアドレスに書き込み
 Sizeクラスごとのポインタテーブル
(gdb) p je_small_bin2size_tab
$24 = {8, 16, 24, 32, 40, 48, 56, 64, 80, 96, 112, 128, 160, 192, 224, 256, 320, 384, 448,
512, 640, 768, 896, 1024, 1280, 1536, 1792, 2048, 2560, 3072, 3584}
 ポインタテーブルの構造
(gdb) p je_arenas[0].tcache_ql.qlh_first.tbins[11]
$9 = {tstats = {nrequests = 17}, low_water = 62, lg_fill_div = 1, ncached = 63, avail =
0xb6003f60}
 サイズが128バイトのポインタテーブル
(gdb) x/63xw je_arenas[0].tcache_ql.qlh_first.tbins[11].avail
0xb6003f60: 0xb6057f80 0xb6057f00 0xb6057e80 0xb6057e00
0xb6003f70: 0xb6057d80 0xb6057d00 0xb6057c80 0xb6057c00
0xb6003f80: 0xb6057b80 0xb6057b00 0xb6057a80 0xb6057a00
0xb6003f90: 0xb6057980 0xb6057900 0xb6057880 0xb6057800
0xb6003fa0: 0xb6057780 0xb6057700 0xb6057680 0xb6057600

30. SElinuxの制限のバイパス
• ROPからライブラリーコードの実行
ROPコード
シェルコード
メモリコードからsoをロード
共有ライブラリーコード

31. シェル
• エクスプロイト成功後に攻撃対象プロセスの
シェルを取得

32. 権限昇格の流れ
通常のアプリ
IMediaPlayerServiceの取得
IMediaRecordの取得
IGraphicBufferProducerの取得
IWindowsManagerの取得
screenShotApplicationの呼出
IGraphicBufferProducerの取得
ISurfaceComposerの取得

33. PoC
• https://github.com/secmob/PoCForCVE-2015-
1528