# 聯發科芯片Rootkit漏洞CVE-2020-0069的分析
## 摘要
本文深度剖析聯發科(MediaTek)芯片組中發現的重大安全漏洞CVE-2020-0069。該漏洞存在于聯發科芯片的TrustZone實現中,允許攻擊者通過提權操作植入持久化Rootkit,影響數百萬臺Android設備。文章將從漏洞背景、技術原理、利用鏈構造、影響范圍、修復方案及防御建議六個維度展開分析,并附關鍵代碼片段和攻擊流程圖解。
---
## 1. 漏洞背景
### 1.1 聯發科芯片安全架構
聯發科芯片采用"Rich Execution Environment (REE)"和"Trusted Execution Environment (TEE)"雙環境設計:
- **REE**:運行標準Android系統(Linux內核)
- **TEE**:基于ARM TrustZone技術,處理敏感操作(如DRM、指紋認證)
### 1.2 漏洞披露時間線
- **2019年11月**:安全研究員在MT6735/MT6762芯片發現異常權限提升
- **2020年3月**:正式分配CVE-ID(CVE-2020-0069)
- **2020年Q2**:聯發科發布補?。ˋPSS-SSP-00078)
---
## 2. 漏洞技術分析
### 2.1 根本原因
漏洞源于TEE內核驅動`tz_driver`的IOCTL接口(`CMD_SMC_CALL`)未對用戶空間傳入的參數進行充分驗證,導致任意SMC(Secure Monitor Call)指令注入。
#### 關鍵缺陷代碼(偽代碼):
```c
static long tz_ioctl(struct file *file, unsigned int cmd, unsigned long arg) {
struct smc_params __user *params = (struct smc_params *)arg;
if (copy_from_user(&local_params, params, sizeof(local_params)))
return -EFAULT;
// 漏洞點:未驗證smc_id和參數的合法性
asm volatile("smc #0" : : "r"(local_params.smc_id), "r"(local_params.param));
return 0;
}
攻擊者可通過以下步驟實現持久化Rootkit:
1. 用戶空間提權:通過構造惡意SMC調用獲取/dev/tz_driver的寫權限
2. TEE內存篡改:修改TrustZone中的安全監控程序(BL31)的返回地址
3. 持久化植入:劫持linux_loader服務加載惡意TA(Trusted Application)
graph TD
A[普通應用] -->|1. 打開/dev/tz_driver| B[內核驅動]
B -->|2. 惡意IOCTL調用| C[TrustZone SMC]
C -->|3. 繞過參數檢查| D[BL31代碼執行]
D -->|4. 修改TA驗證邏輯| E[持久化Rootkit]
| 芯片系列 | 代表型號 | Android版本影響 |
|---|---|---|
| MT6735/6737 | 紅米3/紅米Note 2 | 6.0 - 9.0 |
| MT6762/6765 | 紅米6A/Realme C2 | 8.1 - 10 |
| MT6771/MT6779 | 紅米Note 7 | 9 - 11 |
補丁主要修改點: 1. 增加SMC調用白名單機制 2. 引入參數邊界檢查(關鍵補丁代碼):
+ static const uint32_t allowed_smc_ids[] = {0x0, 0x1, 0x100};
static long tz_ioctl(...) {
+ if (!is_smc_allowed(local_params.smc_id))
+ return -EPERM;
+ if (local_params.param > TZ_MEM_MAX)
+ return -EINVAL;
}
通過dmesg日志檢查異常SMC調用:
adb shell dmesg | grep -E 'smc_call|tz_driver'
該漏洞暴露出三個供應鏈安全問題: 1. 芯片級安全審計缺失:TEE實現未經過充分模糊測試 2. 漏洞響應延遲:從發現到補丁發布耗時5個月 3. 碎片化加劇風險:低端機型補丁覆蓋率不足60%
