攻击者思维:再现 dispatch_async 在 Voice Control 崩溃问题

最新推荐文章于 2023-01-16 13:26:55 发布
最新推荐文章于 2023-01-16 13:26:55 发布
阅读量319 收藏
点赞数
文章标签: 队列 java 多线程 python 面试
原文链接:https://mp.weixin.qq.com/s?__biz=MzA3NzM0NzkxMQ==&mid=2655376294&idx=3&sn=d1c0c7d1d9ae328acfc2c23b623b0b43&chksm=84e21e8eb395979821e034cd13760d8ae8c53e9f90ceabda825d676991b1d06e16eb8dfd11ad&scene=126&&sessionid=0
版权

👇👇关注后回复 “进群” ,拉你进程序员交流群👇👇

文章来自 zecOps

https://blog.zecops.com/research/use-after-free-in-voice-control-cve-2021-30902/

语音控制是 Apple 在 iOS 13 和 macOS Catalina 中引入的一项强大功能。它可以替代屏幕上的所有触摸手势,让您可以使用语音进行点击、滑动、键入等操作,从而与设备进行交互。

com.apple.SpeechRecognitionCore.speechrecognitiond 崩溃

com.apple.SpeechRecognitionCore.speechrecognitiond 是一个处理语音控制的系统 XPCService 进程。

在对 Mobile XDR / Mobile DFIR 的调查期间,我们发现了一系列看起来很有趣的崩溃:

Exception Type:  EXC_BAD_ACCESS (SIGBUS)
Exception Subtype: EXC_ARM_DA_ALIGN at 0x0074616f6c460003

Exception Type:  EXC_BAD_ACCESS (SIGSEGV)
Exception Subtype: KERN_INVALID_ADDRESS at 0x2000002400000000 -> 0x0000002400000000 

Exception Type:  EXC_BAD_ACCESS (SIGSEGV)
Exception Subtype: KERN_INVALID_ADDRESS at 0x00000000100c02d8

移动设备调查分析

并非所有崩溃都相同,但它们都有相似的模式。所有崩溃都发生在一些 libdispatch.dylib 调用之后。

有了这个线索,我们继续调查这次事故的原因。

我们将解释两个最典型的案例。当用户在不同的时间切换语音控制开关时,都会发生这两种情况。

我们将附上一个演示意外多线程问题的 POC,证明即使开发人员使用优化的线程管理库(如 Grand Central Dispatch (GCD) 调度队列,从多线程的角度来看,这已经被认为是安全的)竞争条件的可能性仍然存在,能够导致内存损坏并导致代码执行。

下面是两个最典型的案例:

案例1:当用户关闭 VoiceControl 时

d16f51d9e5db738d8504bc5a6f22ac07.png

当设备正在主动处理音频数据时,会创建调度队列“RDAudioBufferQueue”。一个 AVSoundInput 类实例已被传递给该线程,以通过上下文数据提供输入数据。由于线程安全考虑不够,当用户决定关闭语音控制功能时,上下文数据可能会在另一个队列“RDMainQueue”中提前释放,从而导致Use-After-Free(UAF)。

实际上有一个函数处理_dispatch_call_block_and_release<PC Corruption>之间执行的音频格式转换。它没有显示在回溯中,因为它使用了不将返回地址保存在堆栈中的“br”指令。

下面是该函数的伪代码:

de081afeb7da892b9fee16cf653207b8.png

(1) 在 _addRecordedSpeechSampleData:length: 方法内部,它试图调用存储在*( *(context_data + 48) + 16) 中的函数指针,通常它会执行EARCSpeechRecognitionAudioBufferAddAudioSamples。但是,如果用户决定关闭语音控制,context_data 将在另一个线程中释放,如下所示:

8af42cf808f5f59250018abf8bb0ecf6.png

问题是缺少一个锁来确保 RDAudioBufferQueue 会在 context_data 被释放之前退出。 *(context_data + 48) 中的堆内存可能会提前释放并被其他数据重新占用,从而导致程序计数器 (PC) 损坏。

案例2:当用户打开语音控制时

4b1b0f23923057b61c2550ea62b553c2.png

RDMainQueue 可能会随机发生在不同对象上的内存损坏。上面的例子是XPC连接对象在使用前被释放,Use-After-Free导致线程崩溃。

RDMainQueue 用作多用途的通用队列。各种回调将任务扔到这个队列中,包括接受和处理xpc请求,上报音频数据反馈和采取行动,经常涉及嵌套调用..所有这些任务都是通过dispatch_async提交到RDMainQueue的,它们的顺序似乎是正确的 打电话。

如果 XPC 连接对象的使用和释放都被分配到同一个队列中以正确的顺序处理,Use-After-Free 如何发生?

答案是 dispatch_async 不保证块按照调用顺序执行!

以下 POC 演示了即使在同一队列上使用 dispatch_async 的潜在威胁:

bf25768f4463642bbc909ea2c405ec29.png

dispatch_sync 更安全,就像将所有 dispatch_async 替换为 dispatch_sync 一样,上面的代码将完美运行。

dispatch_async 带来了支持嵌套调用的便利。但是,为了线程安全,开发人员最好实施额外的检查,以确保块按要求的顺序执行。

当用户频繁打开和关闭声控开关时,添加队列的繁忙操作会弄乱顺序,释放后可能仍然使用对象。

再现崩溃

您可以在锁定屏幕上触发此 Use-After-Free,执行以下步骤:

  1. 按住侧边按钮激活 Siri。

  2. 说“关闭语音控制”,会出现一个语音控制开关窗口。

6513a540b37ad1d624f7b3af3a059d15.png

  1. 反复开启/关闭语音控制。有一些技巧可以更可靠地触发崩溃。

除了使用 Siri,您还可以转到设置 -> 辅助功能 -> 语音控制

开启语音控制后,左上角会出现一个图标,先显示为灰色,然后变成蓝色。找到最佳时机的诀窍是在图标变为蓝色之前关闭语音控制。

aa5dc891789ce3e515e1c79b8e72d469.png

eab40a79455a35186286d352935416ec.png

-End-

最近有一些小伙伴,让我帮忙找一些 面试题 资料,于是我翻遍了收藏的 5T 资料后,汇总整理出来,可以说是程序员面试必备!所有资料都整理到网盘了,欢迎下载!

c899823d3751905de54c5aa8ceb59175.png

点击👆卡片,关注后回复【面试题】即可获取

在看点这里e86b67eac3cbd3d68fd2910eede10c8d.gif好文分享给更多人↓↓

iOS_开发
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻击者思维 - iOS 摄像头指示灯不亮,就真的没事了吗?
iOS_开发
11-13 1135
????????关注后回复“进群”,拉你进程序员交流群????????原文来自 blog.secops.com在这个博客系列中,我们将介绍移动威胁参与者的想法,以及攻击者使用哪些技术来克服安全保护以及我们的手...
iOS中使用dispatch_sync崩溃问题。总结
qq_15309157的博客
10-11 2002
崩溃发现是这样的,在维护项目过程中,有个地图的功能,在地图上会添加很多的标注物,但是我在测试过程中发现只要快速操作,比如连续点击放大地图,就会出现崩溃现象。 崩溃点在dispatch_sync上面,使用同步县城 dispatch_sync(dispatch_get_main_queue(), ^{ @try { [self.mapView remove...
iOS dispatch_sync(dispatch_get_main_queue(), ^{ });死锁的原因
LeveBe的博客
10-17 2415
- (void)viewDidLoad { dispatch_sync(dispatch_get_main_queue(), ^{ NSLog(@1); //死锁原因 //1:dispatch_sync 在等待 block 语句执行完成,而 block 语句需要在主线程里执行,所以dispatch_sync如果在主线程调用就会造成死锁 ...
dispatch_sync引起死锁的情况和原因
weixin_34289744的博客
05-25 164
2019独角兽企业重金招聘Python工程师标准>>> ...
Exception Type: EXC_BAD_ACCESS (SIGSEGV)
lvchaman的专栏
11-23 8504
Exception Type:  EXC_BAD_ACCESS (SIGSEGV): EXC_BAD_ACCESS是一个比较难处理的crash了,当一个app进入一种毁坏的状态,通常是由于内存管理问题而引起的时,就会出现出现这样的crash。
dispatch_barrier_(a)sync
10-25
异步和同步的栅栏函数都有以下...2、dispatch_barrier_async:异步栅栏函数会开辟新线程执行block;ispatch_barrier_async将自己的任务插入到queue之后,不会等待自己的任务结束,它会继续把后面的任务插入到queue。
ios demo,dispatch_async,DISPATCH_QUEUE_CONCURRENT,多任务并发执行,自动创建多线程
12-08
`dispatch_async`是GCD(Grand Central Dispatch)中的一个核心函数,用于在不同的执行队列上异步执行任务,以此实现多线程操作。GCD是苹果公司为解决多核处理器并行计算而引入的一个强大的底层技术,它简化了线程...
iAsyncLite:考虑到函数式编程的更好的 dispatch_async()
07-03
异步精简版一个更好的 dispatch_async() 考虑到函数式编程。 This library is a fork of iAsync.iAsync 存储库增长太多,并且包含许多大多数开发人员不需要的实用功能。 这个 fork 是尝试创建一个轻量级的、模块化的...
dispatch_group包含wait
10-18
以上两种方式都是模拟任务block内为异步操作的情况,方式一先执行的dispatch_group_notify里的代码,后执行的dispatch_group_async里的任务代码,这与我们的初衷相违背。如果任务block内为同步操作时,则无论哪种...
pso1.rar_dispatch_dispatch economic_economic dispatch_particle s
07-15
the source code for particle swarm optimization algorithm is given in this file. the source code is for economic dispatch problem which is a power system problem.
总结:iOS中多线程的经典崩溃
syh96123的博客
06-22 1489
前言 iOS崩溃是让iOS开发人员比较头痛的事情,app崩溃了,说明代码写的有问题,这时如何快速定位到崩溃的地方很重要。调试阶段是比较容易找到出问题的地方的,但是已经上线的app并分析崩溃报告就比较麻烦了。 本文将给大家总结介绍关于iOS中多线程的一些经典崩溃,下面话不多说了,来一起看看详细的介绍吧。 Block 回调的崩溃 在MRC环境下,使用Block 来设置下载成功的图片。当self释放后,weakSelf变成野指针,接着就悲剧了 __block ViewController *weakSelf =
【iOS逆向】某运营商签名算法分析
小陈的技术博客
10-09 1255
分析某运营商App的x-lemon-sign签名
MacOS开发 -- OC操作串口
auspark的专栏
03-11 2081
MacOS上的串口访问,有2个用的比较多的框架 AMSerialPort、ORSSerialPort 但其实我们也可以自己写一个不那么复杂的串口工具,当然功能也就没那么多了 ...
【iOS逆向与安全】系统推送服务(APNS)拦截
小陈的技术博客
01-16 989
经过之前的分享,相信大家已经掌握了用户级的插件开发。勤奋好学的你是否对系统级的插件也有着浓厚的性趣,本篇文章将和大家一起学习如何分析并编写一款系统级的插件。
GCD:嵌套dispatch_async时__block对象的一个内存陷阱
weixin_30287169的博客
10-31 229
啥也不说,先上代码: dispatch_async(whatever_queue, ^{ NSNumber* number = nil; number = @123; dispatch_async(main_queue, ^{ NSLog(@"%@", number); }); ...
【iOS开发】静态库导致的运行时崩溃问题
fishmai的专栏
05-11 2789
使用其他一些第三方静态库时, 如果没有注意按照文档中的提示进行配置, 很容易在程序运行过程中因 “unrecorgnized selector send to instance xxx” 的异常而崩溃. 而且可以发现, 导致崩溃的方法都是Category中的方法.  在苹果官方文档中解释到:  The dynamic nature of Objective-C complica
iOS Crash栈的捕获和分析
chaoyuan899的专栏
06-11 1194
在iOS应用开发和线上运行的过程中,我们总会被反馈到各种各样的崩溃。很多崩溃通过case的描述,就能很快的重现并得到修复,但是更多的崩溃也许这一辈子就发生这么一次,也许我们永远不知道它什么时候再会出现。 同时,就算我们捕获到一个Crash栈,由于版本环境等种种原因,或者发生崩溃的代码我们就无法得到它详细的源码,我们往往会对着一片全是程序指令偏移量的Crash栈一脸蒙蔽。 基于以上事实,我们需要从Crash栈的捕获和分析这两个角度进行深入的了解。 本博客主要内容分为两部分: OC中的Crash异常的总结
iOS多线程——GCD底层探索中(dispatch_asyncdispatch_sync源码)
Z1591090的博客
08-04 1080
准备工作以及源码的下载在上一篇文章中 并发函数 dispatch_async 查看源码 dispatch_async(dispatch_queue_t // dq为队列,work为任务 void dispatch_async(dispatch_queue_t dq, dispatch_block_t work) { // 临时变量,参数 dispatch_continuation_t dc = _dispatch_continuation_alloc(); uintptr_t dc_flags =
GCD源码吐血分析(2)——dispatch_async/dispatch_sync/dispatch_once/dispatch group
无忘无往
07-30 7700
上一章中,我们知道了获取GCD queue的底层实现。获取到queue后,就需要将任务提交到queue中进行处理。 我们有两种方式提交任务: dispatch_asyncdispatch_sync。一个是异步不等待任务完成就返回,另一个是同步任务,需要等待任务完成。这两种提交任务的方式有所不同: dispatch_async :底层运用了线程池,会在和当前线程不同的线程上处理任务。 di...
dispatch_async
最新发布
06-14
dispatch_async是一个GCD(Grand Central Dispatch)函数,用于将任务异步提交到指定的调度队列中执行。它可以将任务提交到串行队列、并发队列、主队列等不同的队列中,以便在后台线程或主线程中执行任务,从而避免造成UI卡顿或阻塞主线程的情况。你可以使用dispatch_async来异步执行耗时操作,如网络请求、图片加载等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值