Happy Android Security
  • 前言
  • CTF
    • 2014 NAGA&PIOWIND APP应用攻防竞赛 Crackme01
    • 2014 NAGA&PIOWIND APP应用攻防竞赛 Crackme02
    • 2014 NAGA&PIOWIND APP应用攻防竞赛 Crackme03
    • 2014 NAGA&PIOWIND APP应用攻防竞赛 Crackme04
    • 2015 0CTF Vezel 100
    • 2015 0CTF Simple 150
    • 2015 XCTF&RCTF Flag System 100
    • 2015 XCTF&RCTF Where 300
    • 2015 海峡两岸CTF 一个APK逆向试试吧
    • 2016 LCTF EASY 100
    • 2016 AliCTF Timer 50
    • 2016 AliCTF Loop And Loop 100
    • 2016 ZCTF Android1 200
    • 2016 LCTF EASY EASY 200
    • 2017 ISCC 全国大学生信息安全与对抗技术竞赛 简单到不行
    • 2017 SSCTF 加密勒索软件 100
    • 2017 SSCTF Login 200
    • 2017 XCTF&NJCTF Easy Crack 100
    • 2017 XCTF&NJCTF Safe Box 100
    • 2017 XCTF&NJCTF Little Rotator Game 200
    • 2017 陕西省网络安全大赛 拯救鲁班七号 100
    • 2017 陕西省网络安全大赛 The Marauders Map 150
    • 2017 陕西省网络安全大赛 人民的名义 抓捕赵德汉1 200
    • 2017 陕西省网络安全大赛 人民的名义 抓捕赵德汉2 200
    • 2017 陕西省网络安全大赛 取证密码 200
  • 应用侧安全
    • 任意私有组件启动漏洞的利用
    • [ByteDance] [TikTok] NotificationBroadcastReceiver导出存在任意私有组件启动结合FileProvider机制与FbSoLoader框架导致本地代码执行漏洞
    • [ByteDance] [TikTok] DetailActivity导出存在任意私有组件启动结合FileProvider机制与FbSoLoader框架导致本地代码执行漏洞
    • [ByteDance] [TikTok] WallPaperDataProvider导出存在任意私有文件读取漏洞
    • [Adobe] [Acrobat Reader] AdobeReader处理DeepLink时未正确进行合法性校验导致下载PDF文件过程出现路径穿越可造成远程代码执行
    • [CVE-2019-16253] [Samsung] [SMT] SamsungTTSService导出存在任意私有组件调用提权漏洞
    • [CVE-2021-25390] [Samsung] [Photo Table] PermissionsRequestActivity存在任意私有组件启动漏洞可获取ContentProvider数据
    • [CVE-2021-25391] [Samsung] [Secure Folder] KnoxSettingCheckLockTypeActivity泄露Intent可获取ContentProvider数据
    • [CVE-2021-25397] [Samsung] [TelephonyUI] PhotoringReceiver导出存在任意文件写漏洞结合动态库加载行为可实现本地任意代码执行
    • [CVE-2021-25410] [Samsung] [CallBGProvider] CallBGProvider的调用权限定义为Normal可实现任意私有文件读取
    • [CVE-2021-25413] [Samsung] [Contacts] SetProfilePhotoActivity导出存在任意私有组件启动漏洞可获取ContentProvider数据
    • [CVE-2021-25414] [Samsung] [Contacts] SetProfilePhotoActivity导出存在任意私有文件读写漏洞
    • [CVE-2021-25440] [Samsung] [FactoryCameraFB] CameraTestActivity导出存在文件读写权限泄露漏洞
    • [CVE-2022-22292] [Samsung] [Telecom] 动态注册BroadcastReceiver默认导出存在任意私有组件启动漏洞
  • 系统侧安全
    • REDMI 5 Plus Second Space Password Bypass
    • 【蓝牙】CVE-2017-13258 CVE-2017-13260 CVE-2017-13261 CVE-2017-13262信息泄露
    • 【蓝牙】CVE-2018-9357 BNEP_Write越界写导致RCE
    • 【蓝牙】CVE-2018-9358 信息泄露
    • 【蓝牙】CVE-2018-9359 process_l2cap_cmd_L2CAP_CMD_INFO_REQ未判断缓冲区边界造成信息泄露
    • 【蓝牙】CVE-2018-9360 process_l2cap_cmd_L2CAP_CMD_CONN_REQ未判断缓冲区边界造成信息泄露
    • 【蓝牙】CVE-2018-9361 process_l2cap_cmd_L2CAP_CMD_DISC_REQ未判断缓冲区边界造成信息泄露
    • 【蓝牙】CVE-2018-9365 smp_sm_event数组越界访问导致RCE
    • 【蓝牙】CVE-2018-9381 gatts_process_read_by_type_req未初始化栈变量导致信息泄露
    • 【NFC】CVE-2018-9584 nfc_ncif_set_config_status未检测长度越界读写
    • 【NFC】CVE-2018-9585_nfc_ncif_proc_get_routing未检测长度越界读写
    • 【蓝牙】CVE-2019-2209 未检测PIN码长度导致越界读造成信息泄露
    • 【NFC】CVE-2019-9358 ce_t3t_data_cback越界读写
  • 内核驱动侧安全
Powered by GitBook
On this page
  1. 系统侧安全

【NFC】CVE-2018-9584 nfc_ncif_set_config_status未检测长度越界读写

漏洞原理总结:NFC漏洞,在函数nfc_ncif_set_config_status()里直接将缓冲区数据作为长度进行拷贝操作,造成uint8_t类型溢出定义长度125位的数组

官方描述:In nfc_ncif_set_config_status of nfc_ncif.cc, there is a possible out of bounds write due to a missing bounds check. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

官方描述翻译:函数nfc_ncif.cc - nfc_ncif_set_config_status()里,因为缺少边界检查,存在一个越界写,这可以造成提权并且无需额外的执行权限,利用这个漏洞也不需要用户交互

CVE
参考编号
类型
严重程度
已更新的 AOSP 版本

CVE-2018-9584

A-114047681

EoP

高

7.0、7.1.1、7.1.2、8.0、8.1、9

补丁

  • https://android.googlesource.com/platform/system/nfc/+/5f0f0cc6a10f710dea7e1ddd4ba19acb877a7081

看起来是很常规的未检测Buffer长度就进行读写数据的漏洞

Prevent Out of bounds read/write in nfc_ncif_set_config_status

Test: Nfc Enable/Disable; Android Beam; Tag reading
Bug: 114047681
Merged-In: Iaba48380879373a4807a9d50634f4f40be97ef81
Change-Id: Iaba48380879373a4807a9d50634f4f40be97ef81
(cherry picked from commit 74cf5266c1bb9ee064cbc7e2544909d5d001e429)
(cherry picked from commit f3b6b4e1502771d94418cd2bc02591eb4379db34)
diff --git a/src/nfc/nfc/nfc_ncif.cc b/src/nfc/nfc/nfc_ncif.cc
index 4fb767f..93666e0 100644
--- a/src/nfc/nfc/nfc_ncif.cc
+++ b/src/nfc/nfc/nfc_ncif.cc
@@ -479,18 +479,33 @@
 ** Returns          void
 **
 *******************************************************************************/
-void nfc_ncif_set_config_status(uint8_t* p,
-                                __attribute__((unused)) uint8_t len) {
+void nfc_ncif_set_config_status(uint8_t* p, uint8_t len) {
   tNFC_RESPONSE evt_data;
   if (nfc_cb.p_resp_cback) {
-    evt_data.set_config.status = (tNFC_STATUS)*p++;
-    evt_data.set_config.num_param_id = NFC_STATUS_OK;
-    if (evt_data.set_config.status != NFC_STATUS_OK) {
-      evt_data.set_config.num_param_id = *p++;
-      STREAM_TO_ARRAY(evt_data.set_config.param_ids, p,
-                      evt_data.set_config.num_param_id);
+    evt_data.set_config.num_param_id = 0;
+    if (len == 0) {
+      LOG(ERROR) << StringPrintf("Insufficient RSP length");
+      evt_data.set_config.status = NFC_STATUS_SYNTAX_ERROR;
+      (*nfc_cb.p_resp_cback)(NFC_SET_CONFIG_REVT, &evt_data);
+      return;
     }
-
+    evt_data.set_config.status = (tNFC_STATUS)*p++;
+    if (evt_data.set_config.status != NFC_STATUS_OK && len > 1) {
+      evt_data.set_config.num_param_id = *p++;
+      if (evt_data.set_config.num_param_id > NFC_MAX_NUM_IDS) {
+        android_errorWriteLog(0x534e4554, "114047681");
+        LOG(ERROR) << StringPrintf("OOB write num_param_id %d",
+                                   evt_data.set_config.num_param_id);
+        evt_data.set_config.num_param_id = 0;
+      } else if (evt_data.set_config.num_param_id <= len - 2) {
+        STREAM_TO_ARRAY(evt_data.set_config.param_ids, p,
+                        evt_data.set_config.num_param_id);
+      } else {
+        LOG(ERROR) << StringPrintf("Insufficient RSP length %d,num_param_id %d",
+                                   len, evt_data.set_config.num_param_id);
+        evt_data.set_config.num_param_id = 0;
+      }
+    }
     (*nfc_cb.p_resp_cback)(NFC_SET_CONFIG_REVT, &evt_data);
   }
 }

从最开始走起,进入p_msg->event为BT_EVT_TO_NFC_NCI的分支,调用nfc_ncif_process_event()

/*******************************************************************************
**
** Function         nfc_task
**
** Description      NFC event processing task
**
** Returns          nothing
**
*******************************************************************************/
uint32_t nfc_task(__attribute__((unused)) uint32_t arg) {
    uint16_t event;
    NFC_HDR* p_msg;
    bool free_buf;

    /* Initialize the nfc control block */
    memset(&nfc_cb, 0, sizeof(tNFC_CB));

    DLOG_IF(INFO, nfc_debug_enabled) << StringPrintf("NFC_TASK started.");

    /* main loop */
    while (true) {
        event = GKI_wait(0xFFFF, 0);
        if (event == EVENT_MASK(GKI_SHUTDOWN_EVT)) {
            break;
        }
        /* Handle NFC_TASK_EVT_TRANSPORT_READY from NFC HAL */
        if (event & NFC_TASK_EVT_TRANSPORT_READY) {
            DLOG_IF(INFO, nfc_debug_enabled)
                << StringPrintf("NFC_TASK got NFC_TASK_EVT_TRANSPORT_READY.");

            /* Reset the NFC controller. */
            nfc_set_state(NFC_STATE_CORE_INIT);
            nci_snd_core_reset(NCI_RESET_TYPE_RESET_CFG);
        }

        if (event & NFC_MBOX_EVT_MASK) {
            /* Process all incoming NCI messages */
            while ((p_msg = (NFC_HDR*)GKI_read_mbox(NFC_MBOX_ID)) != NULL) {
                free_buf = true;

                /* Determine the input message type. */
                switch (p_msg->event & NFC_EVT_MASK) {
                    case BT_EVT_TO_NFC_NCI:
                        free_buf = nfc_ncif_process_event(p_msg); // <--
                        break;
            
                    ...
                }

                if (free_buf) {
                    GKI_freebuf(p_msg);
                }
            }
        }

    ...
}

通过对Buffer取第一字节并判断,进入NCI_GID_CORE分支,调用nci_proc_core_rsp()

#define NCI_MT_MASK 0xE0
#define NCI_MT_SHIFT 5

#define NCI_PBF_MASK 0x10
#define NCI_PBF_SHIFT 4

#define NCI_GID_MASK 0x0F

/* parse byte0 of NCI packet */
#define NCI_MSG_PRS_HDR0(p, mt, pbf, gid)         \
    mt = (*(p)&NCI_MT_MASK) >> NCI_MT_SHIFT;      \
    (pbf) = (*(p)&NCI_PBF_MASK) >> NCI_PBF_SHIFT; \
    (gid) = *(p)++ & NCI_GID_MASK;
    
/*******************************************************************************
**
** Function         nfc_ncif_process_event
**
** Description      This function is called to process the
**                  data/response/notification from NFCC
**
** Returns          TRUE if need to free buffer
**
*******************************************************************************/
bool nfc_ncif_process_event(NFC_HDR* p_msg) {
    uint8_t mt, pbf, gid, *p, *pp;
    bool free = true;
    uint8_t oid;
    uint8_t *p_old, old_gid, old_oid, old_mt;

    p = (uint8_t*)(p_msg + 1) + p_msg->offset; // 先获取Buffer指针

    pp = p;
    // 对Buffer取第一个字节并进行解析赋值
    NCI_MSG_PRS_HDR0(pp, mt, pbf, gid);
    oid = ((*pp) & NCI_OID_MASK);
    if (nfc_cb.rawVsCbflag == true &&
        nfc_ncif_proc_proprietary_rsp(mt, gid, oid) == true) {
        nci_proc_prop_raw_vs_rsp(p_msg);
        nfc_cb.rawVsCbflag = false;
        return free;
    }

    nfcsnoop_capture(p_msg, true);
    switch (mt) {
        ...

        case NCI_MT_RSP:
            DLOG_IF(INFO, nfc_debug_enabled)
                << StringPrintf("NFC received rsp gid:%d", gid);
            oid = ((*pp) & NCI_OID_MASK);
            p_old = nfc_cb.last_hdr;
            NCI_MSG_PRS_HDR0(p_old, old_mt, pbf, old_gid);
            old_oid = ((*p_old) & NCI_OID_MASK);
            /* make sure this is the RSP we are waiting for before updating the
             * command window */
            if ((old_gid != gid) || (old_oid != oid)) {
                LOG(ERROR) << StringPrintf(
                    "nfc_ncif_process_event unexpected rsp: gid:0x%x, oid:0x%x", gid,
                    oid);
                return true;
            }

            switch (gid) {
                case NCI_GID_CORE: /* 0000b NCI Core group */
                    free = nci_proc_core_rsp(p_msg); // <--
                    break;
                    
                ...
            }

            nfc_ncif_update_window();
            break;
            
        ...
    }

    return (free);
}

使用NCI_MSG_PRS_HDR1获取p[1]位置的数据,赋值为op_code,之后获取一个字节p[2]作为len,当op_code为NCI_MSG_CORE_SET_CONFIG时,调用nfc_ncif_set_config_status(),并且传入Buffer指针,此时Buffer指针指向偏移为3的位置

/* parse byte1 of NCI Cmd/Ntf */
#define NCI_MSG_PRS_HDR1(p, oid)   \
    (oid) = (*(p)&NCI_OID_MASK);   \
    (p)++;
  
/*******************************************************************************
**
** Function         nci_proc_core_rsp
**
** Description      Process NCI responses in the CORE group
**
** Returns          TRUE-caller of this function to free the GKI buffer p_msg
**
*******************************************************************************/
bool nci_proc_core_rsp(NFC_HDR* p_msg) {
    uint8_t* p;
    uint8_t *pp, len, op_code;
    bool free = true;
    uint8_t* p_old = nfc_cb.last_cmd;

    /* find the start of the NCI message and parse the NCI header */
    p = (uint8_t*)(p_msg + 1) + p_msg->offset;
    pp = p + 1;
    NCI_MSG_PRS_HDR1(pp, op_code); // op_code = p[1]
    DLOG_IF(INFO, nfc_debug_enabled)
        << StringPrintf("nci_proc_core_rsp opcode:0x%x", op_code);
    len = *pp++;

    /* process the message based on the opcode and message type */
    switch (op_code) {
        ...

        case NCI_MSG_CORE_SET_CONFIG:
            nfc_ncif_set_config_status(pp, len); // <--
            break;

        ...
    }

    return free;
}

终于来到了补丁函数,补丁描述是越界读取

Prevent Out of bounds read/write in nfc_ncif_set_config_status

这里可以看到将*p++赋值给evt_data.set_config.status,nfc_cb.p_resp_cback对应的是nfa_dm_nfc_response_cback(),此时可控的变量一共有三个

  1. evt_data.set_config.status

  2. evt_data.set_config.num_param_id

  3. evt_data.set_config.param_ids

#define STREAM_TO_ARRAY(a, p, len)                                   \
{                                                                    \
    int ijk;                                                         \
    for (ijk = 0; ijk < (len); ijk++) ((uint8_t*)(a))[ijk] = *(p)++; \
}
 
/*******************************************************************************
**
** Function         nfc_ncif_set_config_status
**
** Description      This function is called to report NFC_SET_CONFIG_REVT
**
** Returns          void
**
*******************************************************************************/
void nfc_ncif_set_config_status(uint8_t* p,
                                __attribute__((unused)) uint8_t len) {
    tNFC_RESPONSE evt_data;
    if (nfc_cb.p_resp_cback) {
        evt_data.set_config.status = (tNFC_STATUS)*p++; // p[3]
        // #define NFC_STATUS_OK NCI_STATUS_OK
        // #define NCI_STATUS_OK 0x00
        evt_data.set_config.num_param_id = NFC_STATUS_OK; // 初始化为0
        if (evt_data.set_config.status != NFC_STATUS_OK) {
            evt_data.set_config.num_param_id = *p++; // p[4]
            STREAM_TO_ARRAY(evt_data.set_config.param_ids, p,
                        evt_data.set_config.num_param_id); // 长度字段为`p[4]`,这里长度可控,拷贝源可控
        }

        (*nfc_cb.p_resp_cback)(NFC_SET_CONFIG_REVT, &evt_data);
    }
}

我们来看evt_data.set_config.param_ids的定义,其中NFC_MAX_NUM_IDS为125,我们知道,uint8_t为无符号类型,大小为255,所以这里足够溢出param_ids数组

#define NFC_MAX_NUM_IDS 125

/* Data for NFA_DM_SET_CONFIG_EVT */
typedef struct {
    tNFA_STATUS status;                   /* NFA_STATUS_OK if successful  */
    uint8_t num_param_id;                 /* Number of rejected Param ID  */
    tNFA_PMID param_ids[NFC_MAX_NUM_IDS]; /* Rejected Param ID            */
} tNFA_SET_CONFIG;

再来回顾补丁

void nfc_ncif_set_config_status(uint8_t* p, uint8_t len) {
    tNFC_RESPONSE evt_data;
    if (nfc_cb.p_resp_cback) {
        evt_data.set_config.num_param_id = 0;
        if (len == 0) { // 先判断len不能为0,如果为0表示后面没有数据,不能再取值
            LOG(ERROR) << StringPrintf("Insufficient RSP length");
            evt_data.set_config.status = NFC_STATUS_SYNTAX_ERROR;
            (*nfc_cb.p_resp_cback)(NFC_SET_CONFIG_REVT, &evt_data);
            return;
        }
        evt_data.set_config.status = (tNFC_STATUS)*p++;
        if (evt_data.set_config.status != NFC_STATUS_OK && len > 1) {
            evt_data.set_config.num_param_id = *p++;
            // 保证num_param_id的大小不能大于NFC_MAX_NUM_IDS
            if (evt_data.set_config.num_param_id > NFC_MAX_NUM_IDS) {
                android_errorWriteLog(0x534e4554, "114047681");
                LOG(ERROR) << StringPrintf("OOB write num_param_id %d",
                                        evt_data.set_config.num_param_id);
                evt_data.set_config.num_param_id = 0;
            } else if (evt_data.set_config.num_param_id <= len - 2) {
                // 多处判断通过之后再进行拷贝
                STREAM_TO_ARRAY(evt_data.set_config.param_ids, p,
                                evt_data.set_config.num_param_id);
            } else {
                LOG(ERROR) << StringPrintf("Insufficient RSP length %d,num_param_id %d",
                                        len, evt_data.set_config.num_param_id);
                evt_data.set_config.num_param_id = 0;
            }
        }
        (*nfc_cb.p_resp_cback)(NFC_SET_CONFIG_REVT, &evt_data);
    }
}
Previous【蓝牙】CVE-2018-9381 gatts_process_read_by_type_req未初始化栈变量导致信息泄露Next【NFC】CVE-2018-9585_nfc_ncif_proc_get_routing未检测长度越界读写

Last updated 1 year ago