作者：启明星辰ADLab

一、前言

最近，在进行Android源码审计的时候，发现了存着于高通声卡驱动中的一个条件竞争漏洞CVE-2017-7368（CNVD-2017-10809，CNNVD-201704-037）。虽然审计的源码稍微有点过时，谷歌在六月份已经修复了该漏洞，但是整个漏洞发现的过程和漏洞的分析还是比较有意义的。本文首先介绍高通声卡的攻击面和攻击向量，然后详细分析该漏洞成因，最后给出POC。

二、攻击面和攻击向量

Android是基于Linux的移动操作系统，其基本架构如下图：

其中，驱动位于Linux内核层，驱动程序是一个软件组件，可以让操作系统和设备彼此通信。驱动程序会创建一些接口，允许用户从         用户空间访问，以便控制硬件。如果驱动程序中存着漏洞，用户就可以从用户权限提升到内核权限，也就是root权限。

Linux驱动程序一般会在/dev目录下创建一些文件，然后用户可以打开这些文件，通过ioctl函数控制硬件。其中，声卡创建的文件在/dev/snd目录下，如下图：

声卡驱动一般是由第三方厂商实现，如果采用高通的芯片，那么声卡驱动就是由高通提供，而第三方厂商的代码更容易出现一些安全漏洞。因此高通的声卡驱动是一个非常好的攻击面，ioctl函数就是这个攻击面的攻击向量。

三、漏洞分析

出现漏洞的代码位于sound/soc/msm/qdsp6v2/msm-lsm-client.c：

用户空间通过打开/dev/snd/目录下的对应文件，然后设置ioctl函数的cmd参数为SNDRV_LSM_REG_SND_MODEL_V2，就会进入这块代码。

问题主要出现在767行和775行，第767行驱动程序为ptrd->lsm_client分配snd_model_v2.data_size长度的内核空间，然后将snd_model_v2.data（用户空间数据）拷贝到分配的内核空间里。其中，snd_model_v2是用户空间传入的参数，snd_model_v2.data_size和snd_model_v2.data都是用户可以控制的，ptrd->lsm_client是一个全局变量。这段代码如果单线程执行，并不存在什么问题，分配了snd_model_v2.data_size长度的内核空间，并从用户空间拷贝对应长度的用户空间数据，不会出现越界。但这里的ptrd->lsm_client是一个全局变量，如果多线程运行，就会出现一些问题。

这里，我们假设有两个线程，线程A和线程B。

1、假设线程A请求分配2000个字节的空间，这时内核执行到767行为ptrd->lsm_client分配了2000字节，ptrd->lsm_client的长度为2000，这时线程A挂起，执行线程B。

2、线程B请求分配1000个字节的空间，这时内核执行到767行为ptrd->lsm_client分配了1000字节，ptrd->lsm_client的长度为1000，这时线程B挂起，执行线程A。

3、线程A继续执行到775行，进行数据拷贝，此时ptrd->lsm_client的长度已经变成了1000，而线程A并不知情，依然拷贝2000个字节到ptrd->lsm_client，这时就会出现一个堆的溢出。

但是，这种情况并不一定会出现，只有一定的概率出现。不过，如果请求的次数足够多，这种情况就会出现。

漏洞修补方案比较简单，增加一个锁即可。

四、poc构造

分析清楚漏洞的成因之后，就可以进行POC的构造。首先，打开/dev/snd下对应的文件。

然后，构造两个snd_model_v2结构体，一个的data_size设置为2000，另一个设置为1000。

最后，开启两个线程不断循环的进行请求，即可触发该漏洞。

五、总结

条件竞争的漏洞目前很难fuzz出来，只能靠安全人员的代码审计，所以这类漏洞还是会有很多。并且Android的碎片化导致安全更新很难全部部署到所有的手机上，仍有大量的手机面临着漏洞的风险。