Jak można było się dostać na roota do Twojego Kindla, posiadając tylko e-mail?

Tutaj ciekawa seria podatności, za którą Amazon wypłacił $18 000.

Procedura wyglądała następująco:

1. Trzeba było poznać maila ofiary w domenie @kindle.com -> tam można wysyłać książki w formacie mobi
2. Amazon umożliwia zdefiniowanie tzw. zaufanych maili (z których mogą być wysyłane książki), ale maile te można było sfałszować (jeśli dana domena nie posiadała np. zdefiniowanego SPF-a)
3. Dalej, badacz znalazł podatność buffer overflow w obsłudze (na Kindlu) formatu JPEG XR
4. Mógł zatem przygotować ebooka, w którym po kliknięciu na link wykonywał się exploit.
5. Wykonanie kodu realizowane było z uprawnieniami użytkownika framework, więc do pełnego „szczęścia” jeszcze potrzebna była eskalacja do roota. To ostatnie udało się dzięki możliwości kontrolowania jednego parametru, który pewien proces przekazywał do gdb:

Jak widzicie ${CURRENT_TID} nie jest w cudzysłowach. I niby były tutaj sprawdzenia (tj. czy ${CURRENT_TID} jest liczbą), ale można je było łatwo ominąć. Po pierwsze odpalana była funkcja atoi() na naszym ID i sprawdzane czy wynik nie jest 0.

Ale wystarczy odpalić atoi(„222abc”), tj. zacząć od liczby i wynik będzie już 222.

Kolejne sprawdzenie też nie było zbyt fortunne:

“$(echo “$CURRENT_TID” | grep ‘^[0–9]*$’)” != “”

Do ominięcia wystarczy bowiem użyć znaku końca linii. Czyli np. taki ciąg: 1\nsome string omija oba sprawdzenia.

Cała procedura na filmiku poniżej:

–ms