Hotdry.
归档
ai-security

Defeating Kaslr by Doing Nothing at All: KASLR被动破解技术深度分析

深入分析Google Project Zero发现的KASLR被动破解技术,探讨线性映射非随机化与内核物理地址固定化如何协同削弱内核地址空间布局随机化的防护效果。

引言

KASLR(Kernel Address Space Layout Randomization,内核地址空间布局随机化)作为现代 Linux 内核的重要安全机制,其设计初衷是通过随机化内核代码和数据的加载地址来增加攻击难度。然而,最近 Google Project Zero 团队披露的一项研究发现,KASLR 的防护效果在特定条件下可能被人为地显著削弱,这为我们理解系统安全的深层机制提供了宝贵的洞察。

这一发现的重要性在于,它揭示了即使是最基本的安全边界也可能因为实现细节的妥协而被绕过。攻击者无需使用复杂的漏洞利用技术或侧信道攻击,而是仅仅利用系统设计上的 "默认行为" 就能达到绕过 KASLR 的目的。

线性映射机制的技术剖析

线性映射的工作原理

在 Linux 内核中,线性映射(Linear Mapping)是内核虚拟地址空间中一个特殊的区域,它建立了物理内存和虚拟内存之间的直接映射关系。对于 arm64 架构,内核使用以下宏定义来计算线性映射地址:

#define phys_to_virt(x) ((unsigned long)((x) - PHYS_OFFSET) | PAGE_OFFSET)

其中,PHYS_OFFSET 表示物理内存的起始地址,PAGE_OFFSET 表示线性映射区域在虚拟地址空间中的起始地址。在 Android arm64 设备上,PAGE_OFFSET 被固定计算为 0xffffff8000000000,这个值基于 CONFIG_ARM64_VA_BITS(通常为 39 位)计算得出。

随机化的缺失

关键问题在于,对于 arm64 架构的 Linux 内核,PHYS_OFFSET 的随机化已经被内核开发者明确放弃。根据内核文档,这一决定源于内存热插拔支持与地址随机化之间的工程复杂性权衡。

commit 1db780bafa4c 明确指出:"虚拟地址随机化的线性映射在 arm64 Linux 内核中不再是一个受支持的功能"。这意味着 PHYS_OFFSET 在 arm64 设备上始终保持为 0x80000000,从而使得 phys_to_virt () 的计算变成完全静态的操作。

这一设计决策的根本原因在于:arm64 Android 设备需要支持内存热插拔功能(CONFIG_MEMORY_HOTPLUG=y),这要求内核为未来可能的大容量内存扩展预留地址空间。为了简化实现,内核开发者选择将线性映射放置在虚拟地址空间的最低可能位置,而非保持其随机性。

Pixel 设备的具体安全问题

物理地址的非随机化

更为严重的是,Pixel 设备上的内核加载地址也缺乏随机化保护。Bootloader 每次都将内核镜像解压到相同的物理地址:0x80010000。这一点可以通过检查 /proc/iomem 得到确认:

80010000-81baffff : Kernel code
81fc0000-8225ffff : Kernel data

理论上来讲,现代 bootloader 本应支持内核物理地址的随机化加载,但 Pixel 设备选择保持静态加载位置。虽然三星等厂商的设备(如 Galaxy S25)已经实现了物理地址随机化,但 Pixel 设备的安全策略显然更为宽松。

静态地址计算的实现

在 Pixel 设备上,这意味着攻击者可以通过以下静态计算获得内核符号的虚拟地址:

  1. 获取内核符号在 kallsyms 中的相对偏移
  2. 将偏移加上静态物理地址(0x80010000)
  3. 通过 phys_to_virt () 转换公式计算虚拟地址

具体实例表明,modprobe_path 这个重要的内核数据符号将始终位于 0xffffff8001ff2398 这个虚拟地址,无论 KASLR 如何配置。

攻击向量的工程实现

工具链与验证

Project Zero 团队开发了基于 BPF 的特权内核读取工具来验证这一发现。通过调用 BPF_FUNC_probe_read_kernel helper,工具能够直接读取任意内核地址空间的内容,从而验证静态计算地址的准确性。

实证测试显示,重新启动设备后,相同符号的虚拟地址保持完全一致,这证实了 KASLR 在实际运行中的失效。

物理内存喷射的协同效应

即使在具有物理地址随机化的设备上,线性映射的非随机化仍然为攻击者提供了强大的攻击向量。攻击者可以通过大量映射用户空间内存来增加特定物理页帧号(PFN)被分配的概率,然后通过线性映射直接访问这些物理地址。

Project Zero 的实验数据显示,在 Samsung S23 设备上,重复进行 100 次启动测试后,某些 PFN 在绝大多数情况下都会落在攻击者控制的内存范围内,这为构建稳定的内核攻击向量提供了现实基础。

防御策略与缓解方案

线性映射随机化

最根本的解决方案是实现线性映射的虚拟地址随机化。这需要在内存热插拔机制和地址随机化之间找到工程平衡点。可能的实现策略包括:

  1. 为线性映射区域保留多个候选位置
  2. 在 boot 时随机选择其中一个作为基址
  3. 实现动态地址空间管理来支持未来的内存扩展

物理地址随机化的强制实施

对于设备制造商而言,强制实施内核物理地址的随机化加载是必要的。虽然这可能增加 boot 时间的复杂性,但考虑到安全收益,这种权衡是值得的。

增加内存分配熵值

改进物理页帧分配算法,增加分配过程中的随机性,可以降低通过内存喷射预测物理地址的成功率。这已经在主线 Linux 内核中通过 commit e900a918b0984ec8f2eb150b8477a47b75d17692 进行了初步实现。

行业影响与未来展望

这一发现的影响超越了单纯的漏洞描述,它揭示了现代系统安全中 "默认行为" 可能带来的安全风险。KASLR 虽然在理论上有助于提升系统安全,但其实施过程中的各种妥协和优化可能导致其防护效果严重折扣。

对于安全研究社区而言,这一发现强调了进行系统性安全评估的重要性。安全机制往往在特定的威胁模型下有效,但当实际部署环境与设计假设不符时,其有效性可能显著下降。

对于内核开发社区而言,这一案例提示需要在性能、易用性和安全性之间找到更好的平衡。工程决策的长期安全影响往往在决策时并不明显,需要持续的审查和评估。

结论

"Defeating Kaslr by Doing Nothing at All" 这一研究成果深刻地揭示了现代系统安全的复杂性。KASLR 的失效并非由于复杂的攻击技术,而是源于系统设计中的基本假设和工程权衡。对于安全工程师而言,这提醒我们需要对安全机制的实际效果保持审慎的态度,并持续关注其在大规模部署中的表现。

同时,这一发现也为未来的系统安全设计提供了重要参考:在实现安全功能时,必须全面考虑各种边界条件和实际部署环境的影响,确保安全机制在面对真实威胁时能够发挥预期的保护作用。

参考资料来源:

  • Google Project Zero 官方博客:Linear mapping non-randomization on arm64 Linux
  • Linux Kernel Mailing List: Discussion on arm64 linear map randomization
  • LWN.net: "Kernel address space layout randomization" (2013)
  • 各种 Linux 内核技术文档和源码分析
查看归档