物联网安全系列之远程破解Google Home

作者：「Tencent Blade Team」 Leonwxqian & Xbalien & Nicky

0x01 前言

智能音箱是近几年最热门的智能设备，在销量的暴涨背后，各种智能音箱“偷听”的新闻也让人们非常担心智能音箱会泄露自己的隐私，而在2018年初Tencent Blade Team把关注点放在了智能音箱自身的安全漏洞上，当时国外的苹果，谷歌，亚马逊，以及国内的阿里巴巴，百度，小米均已加入了这个战场发布了各自的智能音箱产品，团队选取当时全球用户最多，破解难度最高的Amazon Echo，Google Home，小米AI音箱作为研究目标，耗时近一年时间完成了对这三款智能音箱的远程无接触式破解（静默窃听/RCE/ROOT）并协助厂商完成了漏洞修复。

0x02 概述

0x03 固件提取与分析

Google Home的系统固件并未公开下载，但Google遵循开源协议公开了Google Home音箱系统部分源代码资料，如下图，可以看到包含Google Home/Chromecast系列设备固件的信息，包括Bootloader、Kernel以及系统部分二进制程序等，甚至还包括带符号的.o文件，这些文件能够帮助我们快速了解Google Home/Chromecast系列的设备的概况。

此外Google Home在其OTA流程中虽然通过HTTPS请求检测是否存在新版本，但使用了HTTP的方式下载固件，所以当云端有新版本固件推送，设备下载更新包时可以通过局域网嗅探抓包的方式拿到固件（最佳时机是新设备第一次联网时）。

0x04 Google Home攻击面

网络通信上，Google Home开放了多个端口，其中包含端口8008。这是HTTP服务器，方便用户在局域网内向Google Home进行基本命令操作。若路由器开启了UPnP Forwarding，则有可能将局域网扩展到互联网，之前在youtube的网站上热传的Cast Hack就是此原理进行批量远程攻击。8009端口主要是Google CAST 协议通信端口，采用TLS和protocol buffer封装，我们发现CAST协议能够远程将任意页面推送到Google Home的cast_shell中访问，这得我们可以将攻击Google Home转换为攻击Chrome浏览器；

无线协议上，Google Home使用的是Marvell的芯片，关于Marvell Wi-Fi , BLE固件攻击的思路都可以进行尝试。在去年的Zero Nights会议上，就有关于Marvell Wi-Fi固件的攻击方法。

另外，效仿由HubCap（通过Bootloader Usb协议处理的漏洞完成Chromecast的root），挖掘Bootloader里的漏洞也是可以尝试的思路。

0x05 Google Cast协议暗藏的风险

0x06 Magellan漏洞详情

在确定了利用CAST协议作为我们的远程攻击入口后，我们开始对Google Home中的核心程序cast_shell（Chrome浏览器）进行了漏洞审计，经过一段时间的研究我们在Chrome浏览器核心组件sqlite3中发现了多个高风险0day漏洞，我们把这组漏洞命名为Magellan。

Magellan漏洞对所有平台(Android、Chrome OS、Windows、Linux、Mac)上的Chrome、Webview都会产生影响。包括使用Webview的产品，如Android App内嵌webview网页浏览功能的APP，或使用sqlite3的客户端与服务器软件，如Apache+PHP等。

在下面的部分我们将介绍Magellan漏洞的相关细节。

6.1 CVE-2018-20346

fts3扩展中的`merge`操作可能允许攻击者泄漏堆数据或导致堆缓冲区溢出。

1.表结构而言，fts3和fts4非常相似，在Chrome中关闭了fts4。

2.fts3和fts4都有一些表来存储节点信息。

3.sqlite不禁止用户修改(CREATE，INSERT，DELETE)这些表(%_SEGMENTS，%_SEGDIR，%_STAT)的数据。

4.fts4与fts3共享很多代码分支，可以通过添加一些特殊的内置表(如%_stat)来激活。

5.sqlite3使用assert()进行条件检查，但当Google构建Chrome时，assert变为void()，因为它不是debug版本。

因此，Google Chrome的发布版本中缺少许多关键条件检查，sqlite3中也会发生同样的事情。

6.当我们伪造一些关键的内置表和记录，并调用`merge`函数时，该函数会从攻击者控制的内存区读取数据，并执行memcpy操作，从而导致一些堆相关问题。

通过下面的代码，我们可以触发漏洞：

首先，我们尝试通过nodeReaderInit→nodeReaderNext读取错误的值nDoclist(由攻击者控制)。

然后，将恶意的nDoclist值传递给fts3AppendToNode，我们可能会在这两个地方导致堆缓冲区溢出：

在我们的攻击中，我们选择使用第二个点，因为它更稳定和易于使用。

nDoclist和aDoclist是可控制的，pNode->a和pNode->n也可以由我们调整，因此我们可以做堆风水。

6.2 CVE-2018-20505

fts3扩展中的fts3ScanInteriorNode(`match`)可能允许攻击者泄漏堆数据或导致堆缓冲区溢出。

简单介绍要利用的步骤：

1.将%_segdir中的节点设置为不是根节点。

2.修改节点的BLOB数据。

3.调用`match`触发攻击。

有漏洞的函数如下：

1、注意函数fts3GetVariant32，该函数最多返回0x7fffffff的整数(输入数据为Little-endian，输入ff ff ff ff 07将产生输出0x7fffffff)。

代码将从BLOB(zNode)中提取nPrefix和nSuffix，BLOB可由攻击者控制。

2、第一次检查，将检查zCsr+nSuffix-1是否超过zEnd。

但在32位机器(如Google Home)中，堆通常位于大于0x7fffffff的地址中，当加上另一个较大的数字(如0x7fffffff)时，必然存在整数溢出，结果可能非常小，此检查将通过。

zCsr是表示BLOB中当前位置的指针，zEnd是指向BLOB的最后一个字符的指针。

如zCsr=0xe00000000，zEnd=0xe0002000，nSuffix=0x20000001，zCsr+nSuffix的结果为0x1，小于zEnd，可以通过此检查。

总而言之，可能有2个条件：

a）nSuffix小于未处理的实际数据量。

b）nSuffix是一个巨大的数字，导致zCsr+nSuffix的整数溢出，我们认为b在Google Home中是可利用的。

选择的值将对下一次验证产生影响，我们将在此处将该值命名为“X”。

3、第二次检查

变量nAlloc是分配的缓冲区数量，通常每次值增加两倍。

请注意，nAlloc可以大于实际数据，并且不能保证重新分配的内存区内的数据是从原始BLOB获得的，因此我们可以在这里泄漏一些堆信息。

d）如果nSuffix满足上述条件(a)，但nPrefix大于buf持有的实际数据，则下一步可能存在信息泄漏问题。

(因为sqlite3_realloc调用libc的realloc，这不会将内存初始化为零)。

e）如果(nPrefix+nSuffix)*2大于0x1`0000 0000(仅保留低32位)，则在realloc之后，buf将被设置为非常小的缓冲区，这可能使缓冲区溢出。

攻击者可以将nPrefix设置为较大的值，而将nSuffix设置为较小的值，这将导致越界写。

f)如果我们选择利用a)或b)，将nSuffix(我们称其为“Y”)设置为Y=0x80000000-X(你可能不想将Y设置为80000000-X，你可以这么做，但如果这样做，则很可能会在memcpy期间崩溃)。

例如,

· 我们有zCsr=0xa0000000，nPrefix=7ffff001来触发zCsr+nPrefix-1，

结果是0x1 1FFF000，较高的0x1被截断，因此它实际上是0x1ffff000。

· 我们将nSuffix设置为0xfff，因此nPrefix+nSuffix整数溢出，

结果是0x0，0x0小于nalloc，因此我们不会进入realloc部分。

(if( nPrefix+nSuffix>nAlloc ) {realloc…})

· 因此，最后，将会有一个写大小为0xfff的对0x1ffff000的越界写入。

4、触发缓冲区相关漏洞的代码h)

memcpy(&zBuffer[nPrefix]，zCsr，nSuffix)；

这将复制数据，并且nPrefix、zCsr、nSuffix是可控制的。nPrefix，nSuffix的最大值为0x7fffffff。

5、信息泄漏i )

我们可以使用SELECT来获取匹配的数据，以获取泄漏的数据。

(我们现在没有足够的时间来编写PoC，但我们认为这是可利用的。)

6.3 CVE-2018-20506

fts3扩展中的fts3SegReaderNext可能允许攻击者泄漏堆数据或导致堆缓冲区溢出。

有漏洞的函数

此代码位于fts3SegReaderNext中，此漏洞原理与6.2相同。

0x07 远程攻破Google Home

本节将会介绍如何结合Google CAST协议安全风险与Magellan漏洞，对Google Home发起攻击并最终实现远程代码执行。第一部分主要是编写与调试CVE-2018-20346的漏洞利用代码，这包含了寻找劫持控制流的函数指针，寻求触发函数指针的调用路径，堆内存布局及RCE。第二部分是通过CAST协议在局域网及互联网远程环境下推送payload到Google Home中实现恶意代码执行。

7.1可利用函数指针

首先，需要找到在堆上使用的函数指针用于劫持控制流。在创建fts3表时，默认情况下会创建tokenizer其默认值为simple_tokenizer。具体结构如下图所示：

simple_tokenizer是堆上分配的结构，其成员base指向sqlite3_tokenizer结构，sqlite3_tokenizer结构的成员pModule指向tokenizer_module，而tokenizer_module包含了许多回调函数，例如xCreate / xOpen。分析调用流程后，我们了解到在对fts3表进行插入操作时将触发xOpen回调函数，若将xOpen的地址修改为任意地址，则可以劫持PC。

7.2 劫持PC

在漏洞触发后的路径上，若要完成前述的PC劫持需要满足两个条件。第一，在堆溢出后能够操作fts3表；另外，还需要在内存释放前完成劫持，否则就会导致crash从而中断利用过程。通过分析memcpy到free代码路径，存在函数fts3TruncateSegment，该函数会执行一次SQL update操作，正如下图蓝色标记的代码。既然能够执行SQL语句，那么就可以利用SQL Trigger在执行该update操作前执行fts3表的操作

最终，我们通过Trigger在SQL update操作和free内存之前执行了fts3 表的插入操作，进而触发xOpen回调完成劫持PC。

7.3 堆内存布局

完成了前述两步后，接下来将会介绍进行内存布局的思路。具体思路如下图：

0x08 后记