谷歌最近宣布了针对今年早些时候在一次黑客竞赛中被利用的几个高和中严重程度的 Chromecast 漏洞的补丁。

谷歌上周宣布了12 月份的Android 安全更新，并向客户通报了 Chromecast 缺陷的修复方案。

这家科技巨头告诉用户，其流媒体设备的最新更新总共解决了影响 AMLogic 芯片的三个漏洞，特别是 U-Boot 子组件、KeyChain 中的一个问题，特别是系统组件中的一个问题。

这些漏洞于 7 月在HardPwn USA 2023硬件黑客竞赛中亮相，该竞赛与加利福尼亚州的 Hardwear.io 会议同时举行。谷歌、Meta 和 Parrot 产品都是这次活动的目标。

研究人员在这次活动中通过 Chromecast 的开发获得了数百美元到数万美元的收入。

Google 已将发现 CVE-2023-6181 和 CVE-2023-48425 的功劳归功于 DirectDefense 的 Nolen Johnson、Jan Altensen 和 Ray Volpe；Lennert Wouters、rqu 和 Thomas Roth（stacksmashing）的 CVE-2023-48424；以及 Rocco Calvi (TecR0c) 和 CVE-2023-48417 的 SickCodes。

DirectDefense 上周发表了一篇博客文章，详细介绍了Johnson、Altensen 和 Volpe 开发的完整安全启动漏洞利用链，他们决定不透露确切的漏洞赏金金额。他们的漏洞不能直接用于远程代码执行，但它可以帮助攻击者在受害者不知情的情况下获得持久的代码执行。

“最大的担忧是 eBay 和其他第三方零售商等平台上的供应链拦截，”约翰逊告诉《安全周刊》。“事实证明，通过这些渠道销售的各种 Android TV 流媒体盒都可能被注入恶意软件。”

研究人员描述了三种攻击媒介，包括 eMMC 故障注入（允许访问 U-Boot shell，但需要高级硬件黑客攻击）、Android 验证启动绕过以及引导加载程序控制块 (BCB) 持久性方法（可永久绕过安全启动。

“在我看来，[BCB 持久性方法] 是真正的亮点，因为它允许任何具有 root 访问权限的用户在下次和后续启动时在 u-boot shell 中持久运行代码。这意味着一旦执行一次 eMMC 故障注入，设备就可以在用户不知情的情况下持续被黑客攻击。因此，人们担心供应链受到攻击。”约翰逊解释道。“此外，这意味着如果任何人曾经有能力通过操作系统级别的漏洞（例如恶意应用程序或其他东西）获得本地根访问权限，他们就可以编写 BCB 并有效地破解设备。”

TecR0c 和 Sick Codes 告诉SecurityWeek，他们的 KeyChain 漏洞仅给他们带来了 500 美元，但指出他们的研究还揭示了一些 Android 漏洞，目前 Google 正在审查这些漏洞。

“安装在同一设备上且能够发送意图的任何应用程序都可能利用此漏洞。攻击者首先需要创建恶意应用程序并说服用户安装它。一旦安装了恶意应用程序，它就可以将精心设计的意图发送到 KeyChainActivity，”研究人员说。

他们补充说：“攻击者将能够操纵 KeyChainActivity 的行为，从而导致执行未经授权的操作。” “根据 KeyChainActivity 如何使用这些 Intent extra，攻击者可能会获得对加密密钥或证书数据等敏感信息的访问权限，或者导致 KeyChainActivity 以对攻击者有利的方式操纵此类数据。这可能允许攻击者执行诸如冒充用户、解密敏感信息或导致拒绝服务等操作。”

Wouters、rqu 和 Roth 表示，他们的 Chromecast 漏洞总共为他们赢得了超过 68,000 美元。

“我们的攻击涉及对设备的临时物理访问，因此它主要用于‘邪恶女仆’、供应链攻击以及从丢失/被盗/废弃设备中恢复数据。执行起来并不是特别困难，但需要拆开设备，”研究人员告诉《安全周刊》。“使用我们的攻击，可以通过安装恶意固件来永久破坏 Chromecast，并从 Chromecast 转储现有的敏感信息（例如 WiFi 凭据等）。此后用户看不到攻击，并且设备仍保持完整功能。”

他们还分享了其他技术细节，“通过在启动过程中的特定时间破坏集成闪存存储 (eMMC) 的信号，我们能够访问集成引导加载程序 (U-Boot) 的交互式控制台。从那里我们能够修改提供给 Linux 内核的一些引导参数，这使我们能够在 Linux 引导过程的早期访问 root shell。使用它，我们能够覆盖内核模块，这使我们能够以最大权限执行代码，同时继续常规启动过程。”