赞
踩
转自:http://drops.wooyun.org/papers/7558
使用Stagefright库的应用程序以Media权限运行,成功利用漏洞,允许攻击者浏览器媒体库相应的文件,但通过权限提升攻击,可完全控制设备。
作者: 迅迪 没羽 轩夏 成淼 奋龙 逆巴
StageFright是一个Android中的系统服务,可处理各种多媒体格式,由Natvie C++代码实现,多媒体应用如何与Android Native多媒体进行交互可参考如下图:
而Stagefright所涵盖的模块非常广
|-- stagefright | | | |-- codecs //提供解码器实现 | | | |-- colorconversion //颜色空间转换 | | | |-- foundation //基本数据结构的实现 | | | |-- httplive //m3u8解析 | | | |-- id3 // ID3 TAG解析(一般用于MP3格式的metadata容器) | | | |-- include //基本头文件 | | | |-- matroska //matroska文件解析 | | | |-- mpeg2ts //mpeg2ts文件解析和数据获取一些处理 | | | |-- mp4
由于多媒体处理的实时性特征,该库通过Native代码实现,这也是的该库存在内存破坏的问题远远多于Java实现的代码。
以色列移动信息安全公司Zimperium研究人员Joshua Drake在7月21号发布的声明,声称会在8月的BlackHat会议上发布细节。
Android Stagefright框架中发现了多个整数溢出和下溢,不正确整数溢出检查等漏洞,可导致任意代码执行等问题。
攻击者通过发送包含特制媒体文件的MMS或WEB页来触发该漏洞。由于stagefright不只是用来播放媒体文件的,还能自动产生缩略图,或者从视频或音频文件中抽取元数据,如长度、高度、宽度、帧频、频道和其他类似信息。因此接收到恶意彩信的用户只要查看缩略图就可触发该漏洞。
“Stagefright”媒体播放引擎库在Android 2.2中引入,至5.1的所有版本上均存在此漏洞,预计会有95%的Android设备,约有九亿五千万的安卓设备受该漏洞影响.
使用Stagefright库的应用程序以Media权限运行,成功利用漏洞,允许攻击者浏览器媒体库相应的文件,但通过权限提升攻击,可完全控制设备。
该Stagefright漏洞所对应的CVE ID如下:
CVE-2015-1538 CVE-2015-1539 CVE-2015-3824 CVE-2015-3826 CVE-2015-3827 CVE-2015-3828 CVE-2015-3829
根据https://github.com/CyanogenMod/android_frameworks_av/commits/cm-12.1
提供的补丁,进行了相关的分析:
4.1 Prevent reading past the end of the buffer in 3GPP
补丁链接:
https://github.com/CyanogenMod/android_frameworks_av/commit/57db9b42418b434751f609ac7e5539367e9f01a6
该漏洞产生在以下的chunk中:
这是一个堆内存读越界漏洞,parse3GPPMetaData方法中调用mDataSource->readAt( offset, buffer, size)
读取size大小的数据到申请的buffer中,然后下面会调用mFileMetaData->setCString()
方法进行内存拷贝:
我们来看setCString()方法的最终会调用memcpy进行内在拷贝:
1
2
3
4
5
6
|
void
MetaData::typed_data::setData(uint32_t type,
const
void
*data,
size_t
size) {
clear();
mType = type;
allocateStorage(size);
memcpy
(storage(), data, size);
}
|
由于对memcpy中size的处理不当,导致越界读取了内存数据。
4.2 Prevent integer underflow if size is below 6
补丁链接:
https://github.com/CyanogenMod/android_frameworks_av/commit/9824bfd6eec1daa93cf76b6f4199602fe35f1d9d
该漏洞是一个integer underflow漏洞,对于构造的size来说,如果size<6,可导致len16的值变的很大:
导致接下来的内存越界操作:
4.3 Fix integer overflow when handling MPEG4 tx3g atom
补丁链接:
https://github.com/CyanogenMod/android_frameworks_av/commit/889ae4ad7227c395615d03b24a1667caa162c75f
该漏洞产生在“tx3g”的chunk中,chunk_size是uint,与size之和溢出,会导致实际分配比size小的内存。后面的memcpy函数将会发生堆溢出:
当mLastTrack->meta->findData(kKeyTextFormatData, &type, &data, &size)
函数调用返回为真,size值将不会为0,chunk_size与size都为uint8_t,之和后发生整数溢出,这样导致new一个比size更小的空间,在随后的memcpy将发生堆溢出:
1
2
3
4
5
6
7
8
9
10
|
bool
MetaData::findData(uint32_t key, uint32_t *type,
const
void
**data,
size_t
*size)
const
{
ssize_t i = mItems.indexOfKey(key);
//键值存在 i>0
if
(i < 0) {
return
false
;
}
const
typed_data &item = mItems.valueAt(i);
item.getData(type, data, size);
return
true
;
}
|
接下来new (std::nothrow) uint8_t[size + chunk_size]
,size与chunk_size之和发生整数溢出,值将小于size,此后的memcpy发生堆溢出:
4.4 Fix integer underflow in covr MPEG4 processing
补丁链接:
https://github.com/CyanogenMod/android_frameworks_av/commit/b1f29294f1a5831eb52a81d3ee082a9475f6e879
从patch代码可知,由于未检测chunk_data_size的长度,导致后面的chunk_data_size – kSkipBytesOfDataBox为负数,
向上追溯,chunk_data_size = offset + chunk_size - data_offset;off64_t data_offset = *offset + 8;其中chunk_size为mpeg4格式中box的chunk_size,offset为当前的box的起始位置。由patch代码可知,有这样的不等或成立才能避免该漏洞的出现:
chunk_data_size <= kSkipBytesOfDataBox ⇨ *offset + chunk_size - *offset - 8 <= 16 ⇨ chunk_size - 8 <= 16 ⇨ chunk_size <= 24(0x18)
所以当chunk_size的值<=24时会触发漏洞。构造的一个样本(0x08)截图如下:
4.5 Prevent integer overflow when processing covr MPEG4 atoms
补丁链接:
https://github.com/CyanogenMod/android_frameworks_av/commit/7ff5505d36b1cfd8b03497e0fb5aa24b5b099e45
从patch代码可知,由于未对chunk_data_size的长度进行限制,当chunk_data_size>=SIZE_MAX-1时,chunk_data_size+1>=SIZE_MAX
,导致ABuffer分配0长度的内存,后续再进行内存操作就导致堆越界。
4.6 Fix integer overflow during MP4 atom processing
补丁链接:
https://github.com/CyanogenMod/android_frameworks_av/commit/3854030bf70cb78ec0afbf90d0e7d8e1cf8f9904
从代码分析可知,要构造出满足条的POC样本,需要chunk_size=1,然后unint64来存储chunk_size。对于该漏洞POC的构造,我们假设:mNumSampleToChunkOffsets = 0xFFFFFFFF/0xC
可得,mNumSampleToChunkOffsets = 0x15555555
我们构造如下样本:
其中chunk_size 为1,large_chunk_size
为0x100000007
, mNumSampleToChunkOffsets
为0x15555555
。
加载该样本,运行截图如下:
4.7 Fix integer underflow in ESDS processing
补丁链接:
https://github.com/CyanogenMod/android_frameworks_av/commit/e586b3e891e7c598449d40a9c44c70fd6663d064
从patch代码可知,由于未对size的大小进行检测,后续会进行多次-2操作,导致size为负数,导致堆下溢出。
要构造poc需进入ESDS.cpp查看详细代码:
首先获取偏移的值,并进行一系列运算,当more=true时停止,并返回data_size,然后开始解析ESDS。
从代码可以看出来当3个标志位都为1时,才会进行size-2操作,因此构造的poc必须满足3个标志位,0xE0以上数值就满足要求。因此将size修改为5,标志位修改为0xE3就能触发漏洞的畸形样本截图如下:
4.8 Fix several ineffective integer overflow checks
补丁链接:
https://github.com/CyanogenMod/android_frameworks_av/commit/16c78bb6608dd5abbf3a1fc1cd98e8fc94cfb241
此漏洞有3处patch,涉及到3个chunk分别是“stts”、“ctts”、“stss”。是由于几个uint32型数据相乘,再赋值给uint64可能会导致溢出:
以“stts”chunk为例来说一下poc的构造: 代码分析,我可得“stts”chunk的结构头如下:
第4个4字节的值即为mTimeToSampleCount,我们假设存在这样一个等式:mTimeToSampleCount * 2 * 4 = 0xFFFFFFFF+0x1
可得,mTimeToSampleCount=0x20000000
我们以mTimeToSampleCount=0x20000000构造的一个POC如下:
运行结果:
chunk“ctts”、“stss”也可以通过类似的方法构造出POC。
Amazon Barnes and Noble Google HTC Huawei Technologies Kyocera Communications LG Electronics Motorola, Inc. Samsung Mobile Sony Corporation
等
由于Stagefright是一个底层的多媒体处理库,因此调用该库的应用都受此漏洞影响,我们随机检测国内主流的几个应用做,发现都存在此问题:
6.1 绝大多数视频APP都受影响,以乐视视频为例
- 受影响版本:Android/5.9.3 - 点击特制构建的视频文件,选择“乐视视频”播放:
-查看日志信息,可以看到libstagefright.so的crash信息,在MPEG4Extractor::parseChunk(off64_t *offset, int depth)
方法中解析文件出错,受影响代码可以参考:
https://android.googlesource.com/platform/frameworks/av/+/android-5.1.1_r8/media/libstagefright/MPEG4Extractor.cpp:
6.2 某手机浏览器
- 版本: Android/6.0.1.1560 - 测试: 使用某手机浏览器的二维码功能,扫描生成的视频PoC文件, 在浏览器弹出的提示窗口中选择“直接打开”:
-查看手机端,播放视频文件出错:
-查看日志信息,可以看到libstagefright.so的crash信息,在MPEG4Extractor::parseChunk(off64_t *offset, int depth)
方法中解析文件出错。
6.3某SNS通讯工具
- 版本: Android/6.2.2 - 发送特殊构建的视频文件时,点击播放会弹出“播放失败”窗口,如图:
可以看到解析视频文件时发生崩溃,通过视频发送或SNS形式传播,可大范围的影响用户。
Google已经发布Android 5.1.1_r5修复该漏洞,注意不是所有Android 5.1.1 (Lollipop)手机应用了该补丁,需要安装patchlevel r5补丁:
https://android.googlesource.com/platform/frameworks/av/+/0e4e5a8%5E!/ https://android.googlesource.com/platform/frameworks/av/+/5c134e6%5E!/ https://android.googlesource.com/platform/frameworks/av/+/030d8d0%5E!/
CyanogenMod中的cm12.1 branch已经修复该漏洞:
https://github.com/CyanogenMod/android_frameworks_av/commits/cm-12.1
积极联系通过厂商OTA进行更新
- http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/ - http://www.kb.cert.org/vuls/id/924951 - http://www.forbes.com/sites/thomasbrewster/2015/07/27/android-text-attacks/ - http://www.zdnet.com/article/stagefright-just-how-scary-is-it-for-android-users/ - http://arstechnica.com/security/2015/07/950-million-android-phones-can-be-hijacked-by-malicious-text-messages/ - https://android.googlesource.com/platform/frameworks/av/+/0e4e5a8%5E!/ - https://android.googlesource.com/platform/frameworks/av/+/5c134e6%5E!/ - https://android.googlesource.com/platform/frameworks/av/+/030d8d0%5E!/ - http://source.android.com/devices/media.html - https://www.duosecurity.com/blog/exploit-mitigations-in-android-jelly-bean-4-1
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。