草根也挖洞-记录挖洞之旅
前言
论坛里关于挖洞和怎么报CVE方面的介绍较少,我分享一下最近的经历。希望下面的文章能对ANDROID安全爱好者有些帮助。
0x01 缘起
2015年的时候看到知道创宇的赵伟在一个酒吧里一个演讲视频,讲的是黑客的七种层次。
在这个视频里我印象比较深的是 赵伟提到中国的安全研究相对美国还很落后,中国提交CVE的人数据他所知不超过1百人。为此他现场做了两个测试:
第一个测试问到 现场研究过LINUX内核源代码的人,尝试修改过内核源代码的人请举手,结果没有。
第二个测试 再问到提交过CVE的人有没有,结果没有。
这是我第一次对CVE有所了解。这几年 安全研究风生水起,这年头没几个CVE,都不好意思出来跟别人打招呼,于是几个小伙伴打算搞搞CVE。
那问题来了,以前感觉挖洞都是安全行业的大神玩的,我们这些非安全行业的爱好者可以吗?
吴家志大神说过,有时候挖洞和写EXPLOIT很难界定哪个更难些。有时候EXPLOIT还比发现洞困难许多。
我们看了很多手机驱动相关的CVE以后,感觉也没什么,都是一些基本的错误。如果做一些深入的代码走查,我们也是可以发现的。
所以我们也给自己定个小目标,比方说先挖三、五个CVE看看。:)
0x02 探路
首先我们定位是手机驱动漏洞。手机内核主要由LINUX内核及手机设备驱动组成。而LINUX内核经过多年的发展已经很成熟,代码比较稳定,存在漏洞的可能性比较低。手机设备驱动是由手机厂家开发。每一款手机的设备驱动都不同,而且厂家的芯片发展比较快,基本是一款手机的驱动开发周期就在三个月左右。而且厂家的开发水平良莠不齐。所以手机驱动的漏洞是我们草根挖洞的最佳入口。
我们接下来的问题是选哪家厂家,选哪款手机了。我们首选是 手机容易搞到,驱动漏洞比较多的厂家,驱动源代码开源的。
首先我们想到的是MTK,因为我们发现MTK产品漏洞相当的多,而且采用MTK芯片的手机容易搞到,价格很便宜,源代码在网络上也容易找到。第一天,在一款MTK芯片的手机上我们发现了几十个漏洞。当我们热血沸腾地打算找MTK 申报漏洞的时候。一个尴尬的问题出现了:MTK没有安全中心,漏洞不知道报给谁。MTK也不可能给我们CVE。乌云也因为其他问题关闭了,那么这些洞我们只能自个收藏了。
我们想到了GOOGLE.因为我们看到的大部分和手机相关的CVE 都是来自GOOLE的安全通报。那问题来了,我们能不能把我们发现的MTK洞,报给GOOGLE呢,让GOOGLE给我们发几个CVE和致谢。问了一圈后,答案是不可以!。GOOGLE的CVE是来自 GOOGLE产品本身的漏洞及 GOOGLE产品相关的第三方厂家的漏洞(如高通,MTK)。GOOGLE产品相关的第三方厂家的漏洞是指(NEUX系列的手机搭配的,而且NEXU手机唯一用MTK芯片的型号是 XXX,),这款手机没什么销路,在国内也不销售,而且也停产了。那MTK这条路基本被封死了。
就剩下手机芯片方面就剩下高通和华为了。高通,这几年高通的产品安全性比以前大大提高了,低端的错误比较少。但是挖高通的人很多。国内外的高手都拿着自动化FUZZ武器去扫,我们草根没枪没炮的,要挖个洞需要投入较大的精力。而且手上高通芯片的手机比较旧,也就放弃了。
后来我们想到了华为,华为用的是自家的手机芯片,因为我们在官网看到了华为的安全通告,这说明华为是有安全中心的,最重要的一点是华为也是CVE组织之一,可以申请CVE. :) 还有一点是华为的效率高(两月内就发CVE了),GOOGLE的CVE一般都小半年。(我估计是360 KPI刷榜刷得GOOGLE都忙不过来了)
第一周:我们发现了四个洞,提给了华为安全中心。华为很快就有了回复。
第二周:华为邮件回复已经确认漏洞存在。正在提交开发进行修改,在下一版本里修复。
第四周:华为邮件索取致谢列表的名单。
0x03 小结
1. CVE是个组织,这个组织里的成员可以向CVE组织申请CVE编号。如果你挖的洞和这些厂家的产品相关,那么你可以让他们申请CVE。
2.厂家搞安全中心也是为消费者提供更好的服务。挖洞本身也是给厂家做贡献, 这个道理就跟果农搞采摘一样。
以前果农每年都要花钱雇人摘桃子。然后拉到市集去卖。吃力又费钱。
后来果农往果园里贴个采摘的牌子。然后有一堆人跑去免费给果农摘桃子。
最终果农即省心又不花钱。所以我们也希望MTK能重视一下产品中的安全问题。
3. 挖洞和写POC需要的知识点较多及投入精力较大,草根挖洞最好组团,而团队的力量是无穷的。
在这里感谢VPP TEAM成员:少仲、ESP_0xFF 兄弟的齐心努力。
看雪众测:
看雪论坛:
-----微信ID:ikanxue-----
看雪学院,致力于安全研究16年!