最近需要驗(yàn)證Android系統(tǒng)源碼中一個(gè)i2c的漏洞修復(fù)問題丁逝,沒涉及過底層驅(qū)動(dòng),從一臉懵比到實(shí)現(xiàn)驗(yàn)證,記錄一下~
I2C(Inter-Intergrated Circuit)指的是 IC(Intergrated Circuit)之間的(Inter) 通信方式哲鸳。關(guān)于介紹可以參考:https://www.cnblogs.com/bhlsheji/p/4286559.html
谷歌官方發(fā)布的一個(gè)關(guān)于linux內(nèi)核中的i2c驅(qū)動(dòng)的patch(CVE-2017-18551)臣疑,patch鏈接見:https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=89c6efa61f5709327ecfa24bff18e57a4e80c7fa? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 在我們的定制系統(tǒng)中盔憨,需要觸發(fā)漏洞后驗(yàn)證合入的安全性和合理性。
首先讯沈,在kernel_imx/Documentation/i2c/下的dev-interface文件中找到了測試方法郁岩,根據(jù)文檔整理出了測試程序,通過打開設(shè)備文件并指定設(shè)備地址后缺狠,進(jìn)行自定義讀寫操作问慎,從而走到i2c-core.c的i2c_smbus_write_i2c_block_data函數(shù)的I2C_SMBUS_I2C_BLOCK_DATA case來觸發(fā)漏洞。
將測試程序編譯成可執(zhí)行文件挤茄,拷貝到系統(tǒng)中運(yùn)行如叼,結(jié)果卻失敗了。我們測試時(shí)當(dāng)屏幕亮起的時(shí)候i2c模塊就已經(jīng)初始化完成并且觸發(fā)穷劈,也就是說i2c的端口已經(jīng)被系統(tǒng)占用笼恰。因?yàn)闇y試必須得先指定通信地址才能進(jìn)行讀寫,由于通信地址已經(jīng)被系統(tǒng)的i2c模塊占用歇终,于是執(zhí)行中斷了社证,只好放棄這種方式。
重新構(gòu)思评凝,通過構(gòu)造特殊數(shù)據(jù)和調(diào)用追葡,在系統(tǒng)運(yùn)行中模擬觸發(fā)場景。然后通過輸出log證明合入的安全性和正確性奕短。
增加了一個(gè)不去進(jìn)行數(shù)據(jù)長度限制的讀取塊數(shù)據(jù)的函數(shù)宜肉。在探測屏幕時(shí)調(diào)用該函數(shù),傳入33作為長度參數(shù)(超出塊讀取最大限制32)來構(gòu)造特殊場景來觸發(fā)patch翎碑,最后成功執(zhí)行了patch的代碼崖飘,系統(tǒng)正常運(yùn)行。
*引用轉(zhuǎn)載本文需注明出處
