黑客的快感源于什么呢?
虽掘蝼蚁之穴,却荡破千里之堤;麾下万马千军,仍如入无人之境。
大抵如此。
2015年11月,在日本举行的 Pwn2Own Mobile 黑客大会上。龚广面对一部 Nexus 6 手机。他轻轻点击了一个网址,随即一片沉静,似乎什么都没发生。然而短短片刻,桌面上突然出现了一个新的图标。原来,在电光火石间,系统已经自动从 Google Play 市场下载并且安装了一个被他指定的App。这一切都静静地发生在水面之下,手机的主人根本无从发现。
现场短暂的沉默,继以雷动的掌声,祝贺他优雅地扒掉 Android 系统的底裤。
一个漏洞,优雅地推倒 Android
观众并不知道,这一系列流畅的进攻,其实是龚广的下策。他原本的计划是通过相互配合的两个漏洞,一举拿下系统控制权,读出手机所连接的 Wi-Fi 密码。
然而,无巧不成书。就在他动身参加比赛的两周前,谷歌发布了新的升级。阅读升级日志之后,龚广内心一惊:本来准备妥当的两个漏洞,其中一个看起来已经被谷歌发现并且修复了。
他重演了一遍攻击过程,果然失效。不过,作为江湖老手,一个优雅的黑客,他也没那么容易认输。在之前的研究中,他记得 Google Play 存在一个小的系统设计缺陷,于是用剩余的十多天时间重新写攻击代码,最终在比赛开始之前一天完成了攻击程序。这才有了前面发生的一切——仅仅使用一个漏洞就击溃了 Android 系统的防线。
虽然这次攻击看起来赏心悦目。但是龚广告诉雷锋网,他的攻击并没有提取到系统的顶级权限,也就是“Root”。
密室逃脱,Root 更像一种轮回
在 Android 系统安全中,Root 就是皇冠上的明珠。如果能拿到它,就可以成为手机中的上帝,对所有的文件为所欲为,并且可以读取手机主人的所有敏感信息。
虽说在日常生活中,我们普通人似乎都可以下载一个 Root 工具把自己的手机“干翻”,但是 Root 却远比想象中艰难。龚广告诉雷锋网,Root 需要一连串漏洞(一般为3-4个)的有效配合才可以实现。
如果打一个“优雅”的比方,那大概就是:
黑客在制造一枚精确制导的导弹,穿过系统为进攻者准备的导弹防御系统——四道不同的关卡,最终准确地击中敌人的菊花。
这四道关卡,就像四个暗箱。它们层层嵌套,每一个看上去都无懈可击。而你想获得自由,就必须冲破这四层枷锁,少一个都不行。如果你愿意,就随我变成一段复仇的代码,享受一下鲜血四溅的乐趣吧。
故事马上开始。
{反绑的绳索} 网页脚本
手机的主人通过 Chrome 浏览器点击了链接,于是我们成功地闪入了手机之中。但是,我们发现:
自己不仅被困在 Chrome 这间宫殿当中,还被反绑了手脚。
因为我们既没有权限读取 Chrome 之外的信息,也没有权力对系统发号施令。
作为一个网页脚本,我们最多有权调整一下网页的布局、图片的位置。显然,作为一个刺客,这点权力是没有卵用的。这个时候,我们突然发现了房间里的一张桌子,我们用桌角可以割开捆绑自己的绳子。
当我们重新解放双手的时候,我们已经成功地利用了第一个漏洞。此时已经没有任何人可以阻挡我们从口袋里掏出“作案工具”了。
{无门的宫殿} Chrome
然而,我们的境况并没有变得太好,因为这间叫做 Chrome 的宫殿是没有门的。如果我们无法逃逸出去,将会困死在这里。
然而俗话说,上帝在关上一道门的时候,必定会打开一扇窗。天窗是宫殿里唯一和外界连通的渠道。这扇天窗显然不是为了人进出而设计的,而是为了房间内外空气流通(App内外信息交互)之用。但是在我们眼里,它成为了一个绝好的漏洞。
我们用手中的工具,把屋里的家具改装成了一把梯子,终于够到天窗。此时,我们完成了 Root 中的经典动作——沙箱逃逸。
{金色的钥匙} 系统服务进程权限
宝藏就在眼前的房间里,然而这个华丽的房间却大门紧锁。这扇大门拥有一个奇特的锁,要想打开它,必须用找到一把金色的钥匙:系统服务权限。
作为一个黑客,我当然知道这把钥匙藏在哪。只不过这把钥匙被放在一个密码箱中,一般人绝对没有可能碰到。当我成功地破解了密码箱,拿到了金色钥匙的一瞬间,我已经成功利用了第三个漏洞。
推开门,我将要面对最终的水晶球——Android 系统的内核。
{迷之水晶} Linux 内核
站在水晶球面前,我知道我们距离成功只有一步之遥。只要知道最终的咒语,我们就可以解开 Android 的秘密。水晶球向四周散射出耀眼的光芒,无数0和1交替闪烁在四周的墙壁上,这是 Android 系统 Linux 内核的底层代码。而我们要做的,就是在这数以亿记的数字中,找到那一个微小的错误。这个错误可能是驱动程序的漏洞,也可能是内核本身的漏洞。总之,它就是打开一切的咒语。
在审看了数万行代码之后,一个微小的错误终究没能逃脱我们的眼睛。
我们高声喊出了最终的咒语,一道白光闪耀苍穹。我们全速奔袭,终于冲破了 Android 构建的虚拟世界,霎那间回到了我们的天地。周遭景物依然熟悉,然而世界已经日月新天。
这恰似轮回。
以上就是一次 Root 的全过程。当我们完成了这个过程,就可以带领千军万马重新杀回手机之中。那时节,将是金鼓齐鸣,片甲不留。
走上“绞刑架”,一个漏洞的宿命
然而,这些漏洞的命运是悲惨的。因为他们本不该存在于世上。曾经让我们纵横捭阖的漏洞免不了一个个走上绞刑架。
作为硬件生产厂商的高通和联发科,还有作为软件商的谷歌,会根据龚广和诸多黑客提供的样本进行漏洞修复。如果手机厂商选择跟进,升级到最新的硬件固件和 Android 系统版本(当然很多厂商为了系统的稳定和用户体验,并不会及时对所有的软件进行升级),那么一切都会变得更加困难。
未来的某一天,当我们再次通过浏览器回到 Android 系统之中,也许会发现:
桌子被抹去了棱角,天窗增加了守卫,密码箱换了样式,而水晶球的咒语不再灵验。
这个时候,就是“龚广们”再次出发的季节了。
如今,龚广去年用于攻破 Android系统的漏洞已经被谷歌修复,他也再次受邀到Pwn2Own做演讲,分享这次攻击的技术细节和 Android 世界的惊心动魄。
谷歌不断地增加“漏洞缓解措施”,是否会让漏洞利用或者 Root 越来越难呢?龚广给出了肯定的答案。不过,沉思片刻之后,他告诉雷锋网(公众号:雷锋网):正是由于越来越难,这件事才变得越来越有意思。
背景资料:龚广,360手机卫士安全研究员。主攻浏览器和 Android 漏洞挖掘,向谷歌提供大量 Android 高危漏洞,数次获得谷歌现金激励,被称为 Android 系统的“赏金猎人”;多次参加国际黑客大会并发表主题演讲。
本文作者:史中
本文转自雷锋网禁止二次转载,原文链接