8个月前，Zimperium (zLabs)安全研究人员向高通报告了2个kernel漏洞，影响含有高通芯片集的安卓设备。漏洞CVE编号为CVE-2019-14040和CVE-2019-14041，攻击者利用这些漏洞和CVE-2017-13253、 CVE-2018-9411、CVE-2018-9539漏洞组合起来可以让恶意app实现完成root权限。提权后，app可以：

· 读取设备上存储的所有隐私数据，比如照片、视频、文本消息、邮件附件等。

· 获取设备上其他app的登陆凭证。

· 在用户不知情的情况下通过摄像头和麦克风录制视频或音频。

漏洞分析

漏洞存在于QSEECOM（QTI Secure Execution Environment Communicator，QTI安全执行环境通信器）驱动文件中。该驱动文件允许正常用户空间简称与安全环境（Secure World）TrustZone进行通信。驱动暴露的API包含对/dev/qseecom的调用。而正常情况下只有一小部分有特权的安卓服务集才可以访问/dev/qseecom。

CVE-2019-14041

该漏洞是有个竞争条件漏洞，可以造成内存破坏。该竞争条件来源于函数——__qseecom_update_cmd_buf。该函数的目标是更新要发送给TrustZone缓存，其中含有TrustZone可以理解的指针。

为了避免代码复制，该函数的目的是处理缓存需要被修改的2种不同情况。因此，该函数可以从两个完全不同的ioctls来访问。根据ioctl被调用的位置不同，该函数有时候的行为也是不同的。为此，该函数要检查data->type：

从上面的代码中可以看出，第一种情况data->type 是QSEECOM_CLIENT_APP。在其他情况下，data->type 是QSEECOM_LISTENER_SERVICE。

但该数据其实是一个指向qseecom_dev_handle struct的指针。如何在__qseecom_update_cmd_buf运行时修改data->type呢？

运行ioctl QSEECOM_IOCTL_APP_LOADED_QUERY_REQ就会ui马上修改data->type。即使有一些机制来限制ioctls的并行运行。但只有在data->type修改后才生效。同时运行ioctl会造成__qseecom_update_cmd_buf产生竞争条件。

该函数是从一个匹配QSEECOM_LISTENER_SERVICE的data->type开始的，然后继续匹配QSEECOM_CLIENT_APP的data->type。

这就会引发不同类型的内存破坏，具体要根据当时的竞争条件来判断。虽然大多数竞争条件是Null Dereference（空指针异常）这样无害的，但是有些竞争条件会引发缓冲区移除这样危险的漏洞利用行为。

CVE-2019-14040

CVE-2019-14040是一个kernel内存映射UAF漏洞。

为了让正常的用户空间进程与TrustZone通信，使用了ION机制。ION机制允许用户空间进程与正常内存不同的行为异常的特殊堆内存。然后，用户空间进程可以与自己的内存空间进行映射，进行读写等操作。

ION与QSEECOM的工作原理是打开/dev/qseecom文件会引用分配的ION缓存。然后，kernel就知道如何缓存与TrustZone进行下一步通信了。虽然主要是用于用户空间进程从ION缓存中进行读写，但kernel有时候可以自己通过__qseecom_update_cmd_buf来修改。

上面的代码是处理一个来自用户空间引用分配的ION缓存的请求。从上面可以看出，与ION缓存相关的多个参数都保存了，比如handle和kernel空间的映射。

QSEECOM中的缓存使用

当释放ION缓存后，kernel会将其设置为NULL。

ION缓存释放后的QSEECOM数据

NULL会在尝试从kernel使用ION缓存时被使用。Handle也会进行验证是否为空。

下面是从打开/dev/qseecom文件引用ION缓存的代码：

很明显，代码不允许在没有检查的情况下从用户空间请求。函数中有多个检查来完整验证来自用户空间的请求。比如，如果请求的长度小于ION缓存的长度，那么请求就是无效的。

漏洞就存在这个检查中。如果请求中的长度太长了会怎么样呢？如果打开引用ION缓存的/dev/qseecom 文件还没有被释放会怎么样?

ION缓存被释放后，接收长度太长的请求后的QSEECOM数据

在该场景中，handle不在为NULL，但是其余参数也不会被修改，所以会指向之前引用的ION缓存。比如，sb_virt指向的是已经释放的映射内存。当尝试从kernel使用引用的ION缓存时，handle不再为空，就会引发UAF漏洞。

总结

攻击者利用这些漏洞可以实现设备的root和kernel权限提升。理论上讲，攻击者利用这些漏洞加上之前发现的漏洞来实现完全root权限。

PoC

完整PoC代码参见GitHub：

https://github.com/tamirzb/CVE-2019-14040

https://github.com/tamirzb/CVE-2019-14041

本文翻译自：https://blog.zimperium.com/multiple-kernel-vulnerabilities-affecting-all-qualcomm-devices/如若转载，请注明原文地址：