Google 发布了 Android 设备的每月安全更新。其中对于 Broadcom Wi-Fi
芯片组中发现的远程代码执行漏洞也进行了修复,目前暂命名为
BroadPWN。该漏洞可能会影响到数百万种 Android 设备,以及部分 iPhone
设备。

iOS
10.3.1修复的那个WiFi芯片漏洞,也影响到了数百万Android手机。苹果推出紧急补丁,修复iOS系统中的一个“WiFi芯片之上的任意代码执行”漏洞,漏洞编号CVE-2017-6975。然而最新消息显示,不止是iPhone,数百万采用博通WiFi芯片的智能手机和智能设备,包括众多品牌的Android设备都可能通过无线被劫持,劫持过程是不需要与用户进行交互的。

BroadPwn 中涉及到一个 critical
级别的的远程代码执行漏洞,目前追踪为 CVE-2017-9417,影响
Broadcom BCM43xx 系列 WiFi
芯片组。远程攻击者可以在没有用户交互的情况下触发漏洞问题,如果具有了内核操作特权,则可在该设备上执行恶意代码。

澳门新葡萄京所有网站 1

澳门新葡萄京所有网站 2

昨天苹果紧急发布的iOS
10.3.1修复的几个高危漏洞中,有一个漏洞格外引人注目,处于同一WiFi网络中的攻击者可利用该漏洞在设备使用的博通WiFi芯片(SoC)上远程执行恶意代码。

Google 在 2017 年 7 月的 Android Security Bulletin 中如此写道:

此漏洞由谷歌Project Zero员工Gal
Beniamini发现,Beniamini发布了一篇长博客披露研究细节。文中他将漏洞描述为栈缓冲区溢出问题,Beniamini称漏洞不仅仅影响苹果设备,还影响了所有使用博通WiFi芯片的设备。

最严重的漏洞可能使远程攻击者能够使用编写的特定文件,在低权限进程的上下文中执行任意代码。

Beniamini称,此问题存在于博通的固件代码之中,可导致远程代码执行漏洞,允许处于设备WiFi范围内的攻击者向目标设备发送并执行代码。更牛逼的攻击者还可以部署恶意代码,完全控制受害者的设备,并在受害者不知情的情况下安装诸如银行木马、勒索软件、恶意广告等恶意程序。

博通芯片 BroadPwn 问题在哪

BroadPwn 问题最先是由 Check Point 安全专家 Nitay Artenstein
发现的。但他将漏洞问题提交给谷歌后,并没有公开透露该漏洞的详细内容,只是模糊地说有利用 HNDRTE
操作系统,但他今年会在 Black Hat 会议上分享一些细节。

我可以绕过 DEP 和 ASLR ,获取到博通 BCM43xx 系列芯片组(BCM4354, 4358
和 4359)的权限。

而另一安全研究员 Zhuowei Zhang
通过逆向最新的安卓修复程序,尝试挖掘了更多关于 Broadpwn 的信息。

他在博客中提到:

Broadpwn 出现在 Broadcom Wi-Fi
芯片上的堆溢出问题上。当设备从连接的网络接收到长度不正确的WME(Quality-of-Service)元素时,这个问题就会被触发。扫描网络但不连接似乎并不会触发这个错误。

但根据 Check Point 安全专家 Nitay
Artenstein(漏洞发现者)所说,似乎并非一定需要连接上恶意
WiFI网络。我还没有弄清楚这是怎么做到的。

为了保护设备,用户应该尽可能确保设备连接到可信任的 WiFi
网络,并在不安全的网络上禁用自动连接。

也就是说,攻击者并不需要用户的任何交互,受害者可能只是走入攻击者的恶意WiFi网络范围内,就可能触发漏洞。

接下来,Beniamini还将发布博客,解释攻击者在控制WiFi芯片之后,如何进一步越权访问应用程序处理器,并控制操作系统。

也是Black Hat 2017议题之一

BroadPwn 问题被 Nitay Artenstein 分析了,他表示会在接下来的 Black Hat
2017 会议上以此为议题进行更详细内容的演讲。

我们现在遇到了 BroadPwn 问题,这是 Broadcom Wi-Fi 芯片组中影响数百万
Android 和 iOS
设备的漏洞,它可以远程触发,而无需用户的交互。而我们直到 Broadcom
BCM43xx 系列的 Wi-Fi 芯片广泛应用在移动设备中,从各种型号的 iPhone 到
HTC,LG,Nexus 以及几乎全系列的三星设备中

我会在演讲中剖析 BCM4354, 4358 以及
4359 Wi-Fi 芯片组的内部结构,并探索神秘的闭源 HNDRTE
操作系统的工作原理。然后会在IEEE
802.11这个大家都很困惑的标准中,探索如何寻找到有希望的攻击面。

无线博通WiFi SoC入侵

Android 与 iOS 的安全修复

与此同时,谷歌也修复了10个 critical 级别的 RCE 和超过 100个 high
级别的问题。一并修复的还有影响 Android Media
服务器的几个关键问题,其中一些可以被远程攻击者利用来实施代码执行,而
libhevc
库中的输入验证漏洞(CVE-2017-0540)还可以使用特制文件进行利用(会受到影响的安卓版本包括
5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1)

像往常一样,Google 已经发布了 Pixel 和 Nexus
设备的安全更新,但是余下其他的 Android 设备在 OEM
修复之前仍可能存在安全隐患。

而对于苹果设备,Apple目前没有给出关于 BroadPwn
的任何信息,这给我们留下了许多等待解决的疑惑,我们不清楚哪些型号的苹果设备会受到影响,也不知道何时
Apple 会给出修复补丁。

参考来源:securityaffairs,threatpost,blog,bleepingcomputer,tomsguide

编译:Elaine,稿源:FreeBuf.COM

澳门新葡萄京所有网站 3

据Beniamini的说法,博通WiFi芯片上运行的固件可被欺骗,导致栈缓冲溢出。Beniamini向WiFi控制设备发送了修改过的带异常值的WiFi帧,从而触发固件栈溢出。

Beniamini随后把上述异常值与芯片中频繁的timer
firings相结合,渐渐覆盖设备的RAM,直至恶意代码被执行。

因此,利用此漏洞的条件为,攻击者必须在目标设备的WiFi覆盖范围内。

Beniamini认为,虽然在WiFi芯片上实现该利用是相当复杂的,但就安全而言,仍然是个问题,尤其是因为这个问题无法依靠基础的漏洞利用缓解方式解决,包括堆cookie、安全断开链接、访问许可保护等。

Beniamini也在博客中给出了PoC,而且还在一台运行Android
7.1.1版本NUF26K的Nexus 6P(现已修复)上实现了攻击过程。

除此之外,Beniamini还在博通WiFi芯片6.37.34.40版本固件中发现了其他几个漏洞。

Nexus与iOS已发布补丁,其他机型还需等待

谷歌Project
Zero团队在去年12月就把这个问题上报给了博通。因为漏洞在博通的代码当中,智能手机厂商只能等博通发布补丁,然后才能测试补丁,并发送给用户。

谷歌和苹果分别于周一发布安全更新,修复该漏洞。谷歌通过2017年4月Android安全公告发布更新,而苹果则发布了iOS10.3.1。

这个漏洞也影响多数三星旗舰机,包括Galaxy S7 (G930F, G930V)、 Galaxy S7
Edge (G935F, G9350)、Galaxy S6 Edge (G925V)、 Galaxy S5 (G900F)和Galaxy
Note 4 (N910F)。