移动平台安全攻击综述

上海交通大学密码与计算机安全实验室Gossip主讲人：束骏亮AttackintoAndroid上海交通大学密码与计算机安全实验室Gossip关于我•GoSSIP成员•研究方向：系统安全、软件安全、Android安全•0ops队员•主攻：Android相关、steganography、forensics、misc~evermars/上海交通大学密码与计算机安全实验室Gossip关于这个主题•回顾Android攻击的发展•理解目前Android系统安全现状•能够回答一类问题上海交通大学密码与计算机安全实验室GossipAgenda•AndroidAttackSurface•曾经出现过的那些攻击上海交通大学密码与计算机安全实验室GossipAndroidAttackSurface硬件驱动Linux内核Linux(底层Android系统)Android系统(系统框架&内置应用)第三方应用程序上海交通大学密码与计算机安全实验室Gossip硬件上海交通大学密码与计算机安全实验室GossipFROST-冷冻攻击•攻击对象：内存•原理：在极低的温度(零下15度)下快速重启设备，设备的内存信息将出现物理残留，使用常见的取证工具，能够从内存dump中恢复出大量的隐私信息(图片、数据库)•MüllerT,SpreitzenbarthM.Frost[C]//AppliedCryptographyandNetworkSecurity.SpringerBerlinHeidelberg,2013:373-388.上海交通大学密码与计算机安全实验室Gossip传感器问题•攻击对象：用户隐私(轨迹、身份、方位等)•原理：通过Android自带的各种传感器(麦克风、陀螺仪、加速仪等)获取数据，一般通过机器学习的方法对数据进行学习、分析，从而在再次捕获这类数据的情况下，推断出和用户隐私相关的结论。•HanJ,OwusuE,NguyenLT,etal.Accomplice:Locationinferenceusingaccelerometersonsmartphones[C]//CommunicationSystemsandNetworks(COMSNETS),2012FourthInternationalConferenceon.IEEE,2012:1-9.上海交通大学密码与计算机安全实验室Gossip数据残留•攻击对象：Android磁盘数据•原理：从底层芯片到文件系统，多层因素导致了Android系统中删除文件会存在数据残留的问题，同时Android系统本身没有对这样的问题做出缓解措施，而且用户也无法替代系统进行一些敏感文件的删除操作。•ReardonJ,MarforioC,CapkunS,etal.User-levelsecuredeletiononlog-structuredfilesystems[C]//Proceedingsofthe7thACMsymposiumoninformation,computerandcommunicationssecurity.ACM,2012:63-64.上海交通大学密码与计算机安全实验室GossipSIM卡复制•攻击对象：SIM卡•原理：旁路攻击。通过读取SIM和基站通信时的旁路信息(功耗)，获取和SIM进行加密/解密运算相关的功耗数据。经过对数据曲线的后期分析，能够还原内嵌在SIM卡中的密钥。•SmallTweaksdoNotHelp:DifferentialPowerAnalysisofMILENAGEImplementationsin3G/4GUSIMCards//ESORICS2015上海交通大学密码与计算机安全实验室GossipNFC窃听•在近距离对NFC进行窃听ZhouR,XingG.nShield:anoninvasiveNFCsecuritysystemformobiledevices[C]//Proceedingsofthe12thannualinternationalconferenceonMobilesystems,applications,andservices.ACM,2014:95-108.上海交通大学密码与计算机安全实验室Gossip驱动上海交通大学密码与计算机安全实验室GossipCVE-2013-4738•攻击对象：msmcameradriver•原理：Stack-basedbufferoverflow上海交通大学密码与计算机安全实验室Gossip上海交通大学密码与计算机安全实验室GossipCVE-2013-6123•攻击对象：msmcameradriver•原理：outofboundsarrayaccess上海交通大学密码与计算机安全实验室Gossip上海交通大学密码与计算机安全实验室GossipSymDriveUsingsymbolicexecutiontoremovetheneedforhardwareUsingstaticanalysistoreducetheeffortoftestingAllowingcheckerstoexecuteinkernelProvidinganexecution-tracingtoolFound39bugswhenapplyingSymDriveto21Linuxdriversand5FreeBSDdriversRenzelmannMJ,KadavA,SwiftMM.SymDrive:TestingDriverswithoutDevices[C]//OSDI.2012,1:4.6.上海交通大学密码与计算机安全实验室GossipLinux内核上海交通大学密码与计算机安全实验室GossipMissingAccessingChecks上海交通大学密码与计算机安全实验室Gossipput_user/get_user•Missingaccesschecksinput_user/get_userkernelAPI•Exploit:[1]pipe(pipefd);[2]write(pipefd[1],buf,data[i]);[3]ioctl(pipefd[0],FIONREAD,address);[4]read(pipefd[0],buf,sizeofbuf)•Thatcausesanarbitrarilywriteinkernelwhichleadstoprivilegeescalation.上海交通大学密码与计算机安全实验室GossipMemoryCorruption上海交通大学密码与计算机安全实验室Gossipperf_event•Vulnerablesyscall:perf_event_openintevent_id=event-attr.config;if(event_id=PERF_COUNT_SW_MAX)return-ENOENT;•Bypassthecheckbysettingevent_idnegative.•Patch:-intevent_id=event-attr.config;+u64event_id=event-attr.config;上海交通大学密码与计算机安全实验室Gossip类似的漏洞•sock_diag上海交通大学密码与计算机安全实验室GossipMmapIssue上海交通大学密码与计算机安全实验室GossipFramaroot•Causes:mappingallphysicalRAMwithreadandwritepermissions.•Foundonthe/dev/exynos-memdevicefileatfirst.上海交通大学密码与计算机安全实验室GossipFramaroot•Exploitingsteps:[1]Open/dev/exynos-mem[2]Callmmap()tomapthekernelRAM[3]Patchformatstringstobypasskptr_restrict[4]Findandpatchsys_setresuid()[5]Restorethepatchedmemory上海交通大学密码与计算机安全实验室Gossip类似的漏洞•Motochopper•Levitator上海交通大学密码与计算机安全实验室Gossip古老的漏洞们•Exploid(2010年7月)•Zimperlich(2011年2月)•GingerBreak(2011年5月)•Mempodroid(2011年8月)•RageAgainstTheCage、Zergrush等等上海交通大学密码与计算机安全实验室GossipTowelRoot•CVE-2014-3153•GeoHot•kernel/futex.c•futex:FastUserspacemuTEXes上海交通大学密码与计算机安全实验室GossipCVE-2015-3636•pingpongroot•uaf•0x00200200上海交通大学密码与计算机安全实验室GossipVulnHunting•SymDrive(OSDI2012)TestingDriversWithoutDevices•Avatar(NDSS2014)Dynamicfirmwareanalysis•KINT(OSDI2012)ImprovingIntegerSecurityforSystems•Joern(S&P2014)ModelingandDiscoveringVulnerabilitieswithCodePropertyGraphs•SKI(OSDI2014)ExposingKernelConcurrencyBugsthroughSystematicScheduleExploration上海交通大学密码与计算机安全实验室GossipLinux系统(底层Android系统)上海交通大学密码与计算机安全实验室GossipASLRFlawLeeB,LuL,WangT,etal.Fromzygotetomorula:Fortifyingweakenedaslronandroid[C]//SecurityandPrivacy(SP),2014IEEESymposiumon.IEEE,2014:424-439.•Cause：EachapplicationprocessisaforkoftheZygoteprocess.•sameaddressspace•sharednativelib•makesROPpossible上海交通大学密码与计算机安全实验室GossipSymboliclink-relatedattack•MostlyintroducedbycustomOEMmodifications.•Cause:[1]mkdir/data/local/tmp0771shellshellininit.rcscript.[2]Checksmissingondoingdo_chmod,mkdir,do_chownevenifthetargetisasymboliclink.上海交通大学密码与计算机安全实验室GossipSymboliclink-relatedattack•Exploit:[1]rm-r/data/local/tmp[2]ln-s/data//data/local/tmp[3]reboot[4]echo‘ro.kernel.qemu=1’/data/local.prop[5]reboot•ro.kernel.qemu=1andro.secure=0inlocal.propmakesadbdrunwithrootprivileges.上海交通大学密码与计算机安全实验室GossipAdbbackupAttack•PrivacyLeakage[1]Useadbbackuptobackup/data/data*.ab[2]Useabet