作者:京東安全 Dawn Security Lab
原文鏈接:https://dawnslab.jd.com/mystique/#more

什么是魔形女漏洞?

“魔形女”漏洞展示了一個此前未曾發現的新的攻擊路徑,在最新的安卓11(漏洞發現時最新的Android版本)上能夠穩定打破安卓應用沙箱防御機制。通過多個零日漏洞組合,攻擊者的零權限惡意應用程序可以在用戶無感知的情況下繞過安卓應用沙箱,攻擊任何其他應用,如Facebook、WhatsApp等。讀取應用程序的數據,獲取應用權限。我們給這條鏈命名“魔形女”源于著名的漫威漫畫人物,因為它擁有類似的能力。

是遠程代碼執行漏洞嗎?

不是,“魔形女”本身是一個本地權限提升漏洞。但可與其他遠程漏洞相結合,例如可配合另外一個我們發現的RCE漏洞: CVE-2021-0515(該漏洞會另行介紹)。

漏洞修復了嗎?

是的。漏洞已經報送給各個相關廠商,并得到了公開致謝。已公開的漏洞編號為:CVE-2021-0691, CVE-2021-25450, CVE-2021-0515, CVE-2021-25485, CVE-2021-23243等。安卓12系統和2021年9月安全補丁版本以上的安卓11系統已修復該漏洞,部分廠商也已在更早前backport了對應的補丁。您可用我們提供的檢測工具來檢測您的系統是否被該漏洞攻擊。

歷史上出現過類似的漏洞嗎?這個漏洞有什么特殊的價值?

安卓歷史上也偶爾出現過能夠獲取所有APP隱私數據和權限的用戶態漏洞,但隨著近年來安卓防御機制的增強和代碼質量的提高,能達到類似攻擊效果的漏洞可謂鳳毛麟角,而本次利用原本固若金湯的安卓沙箱防御機制的微小缺陷,結合各大手機廠商設備中零日漏洞組合設計的”魔形女“漏洞鏈,從用戶側打破了App包安裝后包文件只讀的默認假設。

這個漏洞跟手機硬件相關嗎?影響范圍多大?

不相關,所有未打補丁的安卓11手機都會受到此漏洞的影響,鴻蒙不受影響(沸騰了!)。根據版本裝機量統計,目前全球約有至少8億的Android設備受影響。

繞過了什么安全防御機制?

安卓沙箱防御:每個安卓應用都運行在自己的沙箱內,應用代碼是在與其他應用隔離的環境中運行,數據也默認互相隔離;默認情況下,每個應用都在其自己的Linux進程內運行,其他應用不能訪問,并受MAC SELinux機制沙箱限制,就像酒店的每個房間都有自己的鑰匙,不同房間的客人不能默認互相串門一樣。同時,針對內存破壞漏洞還有ASLR、Stack cookie甚至CFI等機制防御。

魔形女漏洞繞過了這些防線,獲得了酒店房間的萬能鑰匙

致謝

CVE-2021-0691:  A-188554048 EoP 11 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0691)
CVE-2021-0515:  A-167389063 RCE 8.1, 9, 10, 11 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0515)
SVE-2021-21943 (CVE-2021-25450): Affected versions: O(8.1), P(9.0), Q(10.0), R(11.0) (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25450)
SVE-2021-22636 (CVE-2021-25485): Affected versions: Q(10.0), R(11.0) (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25485)
CVE-2021-23243 EoP (https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-23243)

Android致謝:https://source.android.com/security/overview/acknowledgements
三星致謝:https://security.samsungmobile.com/securityUpdate.smsb
Oppo致謝:https://security.oppo.com/cn/noticeDetail?notice_only_key=20211632987608199

行業專家點評(排名不分先后)

  • 徐昊 Pangu Team/犇眾信息聯合創始人兼CTO

該研究成果向我們展示了串聯漏洞的攻擊威力。通過AOSP中的一行變更產生的邏輯隱患,再結合不同廠商的前置漏洞利用,可以達到讀取APP數據、注入APP代碼執行等非常有實際價值的攻擊。

  • 王琦(大牛蛙) KEEN和GeekPwn創辦人

Mystique漏洞特點準通殺、影響面廣、利用穩定。類似的漏洞公開發現的已經很少,且因角度新穎即使在野利用也不易被發現。安卓生態會因為這種遺珠式漏洞的修復變得更加安全。

  • 陳良 著名安全研究專家,三度“世界破解大師”(Master of PWN)

這是一種在安卓框架下非常新穎的攻擊模式,可以隱蔽的竊取用戶隱私甚至控制手機。

檢測工具

我們提供的檢測工具和SDK可供使用者檢測

  1. 自己的手機是否曾被該漏洞的攻擊代碼攻擊過
  2. 開源鏈接:https://github.com/DawnSecurityLab/Mystique_Detection_SDK 結果僅供參考,可能有不準確的地方。如有疑慮請聯系我們 dawnsecuritylab # jd.com

下載鏈接

自動化漏洞挖掘框架

自動化漏洞挖掘框架是京東安全自研的自動化/半自動化漏洞挖掘框架,基于人工智能的靜態程序分析和動態模糊測試技術,結合專家經驗,可對泛IoT設備/系統、APP等進行全面而深入的漏洞挖掘和隱私風險發現,從源頭上及時發現并切斷風險。僅在上半年我們使用該框架挖掘了數十個CVE,此次魔形女漏洞的發現即借助了該框架的能力。

現框架開放內測中,有興趣的研究團隊/企業,歡迎垂詢實驗室郵箱 dawnsecuritylab # jd.com

研究成果發表和細節披露計劃

為了保護終端用戶,鑒于修復情況,我們不會立即發布漏洞細節,我們會在11月份的相關會議上發表和披露該項研究細節。敬請期待。

視頻請點此處

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/1801/