團控坐在我們的面前,精神飽滿,但眉宇間依稀有一些困頓。他說,剛從荷蘭飛回來,現在還在倒時差。而在此之前的4月初,他正在阿姆斯特丹的HITB大會(Hack In The Box Security Conference)做主題演講;在更早的3月下旬,他還在新加坡的BlackHat Asia大會上激揚文字。
團控在BlackHat Asia上演講
之是以連續受到全球頂級安全會議的邀請,隻因他帶着他的最新研究成果——《核心空間鏡像攻擊:利用ARM處理器MMU的硬體特性打破安卓核心隔離并擷取Root權限》。
“核心空間鏡像攻擊”可獲安卓8.0終端最高權限
“安卓8.0引入了新的核心安全加強特性和更為嚴格的SELinux政策,利用一個漏洞來擷取衆多品牌最新安卓手機系統的最高權限是非常有挑戰性的。”團控說。
在HITB的演講中,團控向與會者詳細講述了新的Root方案ReVent。據團控介紹,ReVent方案基于一個由條件競争所引起的USE-AFTER-FREE漏洞,而這個漏洞會影響所有核心版本大于等于3.18的安卓終端,而且能夠在普通應用程式中觸發。
團控在HITB上作主題分享
“在利用過程中,許多不同的堆對象在同一個堆中頻繁地配置設定和釋放。是以,構造堆風水和獲得核心代碼執行權限十分困難。”團控表示,是以,他在研究中發現可利用管道子系統的TOCTOU特性來擷取任意核心位址的寫權限。
團控告訴我們,采用公開的漏洞利用技巧,比如覆寫ptmx_fops結構體去繞過PXN緩解機制是非常容易的。但是,谷歌在安卓8.0系統中引入了新的PAN緩解機制,基本堵死了這條“捷徑”,讓這些技巧紛紛失效。
“其實,借助我發現的一個存在于安卓系統長達數年的漏洞,能夠直接繞過PAN緩解機制,但是,我總覺得還有其他的方法去直接繞過它們(PXN和PAN)。”團控說。經過反複研究,他發現一種新的核心漏洞利用技巧——核心空間鏡像攻擊可以達成這一目标。
“核心空間鏡像攻擊技巧基于ARM位址管理單元的特性,能夠讓攻擊者不借助系統調用,而直接在使用者态讀寫核心代碼段或者資料段位址,然後結合前面所說的漏洞,就可以直接擷取安卓8.0系統終端的最高權限。”團控說,“在早前BlackHat Asia的演講中,我還詳細介紹了一個Root方案——CPRooter。”
團控介紹說,CPRooter所使用的漏洞能夠影響大部分基于高通SoC的安卓裝置,這個漏洞可以讓攻擊者讀寫TTBRx寄存器。由于這個漏洞“品相不好”(俗稱渣洞),谷歌認為其不能利用,并在官方公告上對其危害性降一級處理,即從高危變為中危。在不構造各級頁表的條件下,直接修改任意一個TTBRx寄存器會導緻核心崩潰。“在BlackHat Asia,我闡述了如何利用ARM位址管理單元的特性來規避這個問題,并且利用核心空間鏡像攻擊技術在64位裝置上建構一個成功率為100%的利用鍊。”團控說。
榮耀!曾得到Linux之父Linus Torvalds的點贊
團控,阿裡安全潘多拉實驗室研究人員之一。1991年,他出生于四川省,并在重慶郵電大學修完大學和碩士學業,然後加入阿裡巴巴,成為阿裡安全的新生代白帽黑客之一。
團控在阿裡安全潘多拉實驗室的主攻方向是安卓系統的安全,曾向Linux核心社群、谷歌和三星等上報安全漏洞,并獲得緻謝。“2016年的時候,我上報過Kernel的漏洞,然後,竟然得到了Linux之父Linus Torvalds親自發來的回複郵件!當時,心情太激動了。”團控說。
Linux之父Linus Torvalds回複團控的郵件
和其他白帽黑客一樣,團控也有自己的個人首頁。在他的個人空間,我們看到了他發表的一些安全研究成果,包括此次的“核心空間鏡像攻擊”。
有意思的是,在荷蘭參加HITB的間隙,他花了一點時間,就成功逆向了大會主辦方發給自己的演講嘉賓證。他在日志裡面寫道,“演講前一天拿到Badge,花了小半個小時嘗試逆向,因其他事情作罷。今晚無聊,再次嘗試,基本搞定,過程其實比較簡單。”
HITB主辦方發給團控的演講嘉賓證
當我們問團控是怎麼發現“核心空間鏡像攻擊”技巧的時候,他回答說,其實他在這個研究上面花費了近兩年的時間。
“我一直是從攻擊的視角去找安卓系統的漏洞,而ARM這個硬體設計結合自己之前發現的漏洞,就可以繞開安卓8.0最新的安全機制。其實挺不容易的,從來到阿裡,我就在做這方面的研究,這将近兩年的時間,發現了這個。”
**問:“ARM的設計是‘缺陷’嗎?”
答:“我不能這樣說,是以我說它這個是‘特性’。但是這個結合系統的漏洞,就能拿到安卓終端的最高權限。不僅如此,任意APP還能夠不借助系統調用直接修改系統核心代碼。對于現代作業系統,這幾乎是不可能的。”**
團控很巧妙地把ARM的硬體因素稱之為“特性”。據他介紹,他之前曾經和采用ARM方案的晶片廠商有過溝通,但他們并不認為這是一個“缺陷”。
**問:“這個感覺危害極大啊?”
答:“是的。一是現在使用ARM的終端非常之多,二是通過這種攻擊方式擷取的是終端的最高權限,基本上可以說是能夠‘為所欲為’了。”**
**問:“你這個‘核心空間鏡像攻擊’如果被黑灰産利用怎麼辦?”
答:“雖然這種攻擊技巧的危害很大,不過這個技巧還是有很高的技術門檻的。但我還是希望硬體方案商和制造商能夠重視這個問題,并從硬體層面将其封堵掉。”**
事實上,在阿裡安全類似于團控這樣的白帽黑客還有很多,如同在潘多拉實驗室的耀刺、黑雪等;比如獵戶座實驗室的蒸米、小龍、五達等。這些年輕人都出生于1990年前後,他們緻力于從攻擊的視角去發現安全漏洞,并提出相應的解決方案,以此來提升整個安全行業的安全水位。
梁啟超說,少年強則中國強。這些不斷湧現出來的年輕的新生代白帽黑客更強,才是安全行業乃至整個網際網路行業的幸事。