Codex 入侵了一台 Samsung 电视

本文记录了我们利用 AI 入侵硬件设备的研究。感谢 OpenAI 与我们合作开展这一项目。

在这项研究过程中，没有电视受到严重伤害。只有一台电视可能因为被 AI 反复远程重启而经历了轻微“心理创伤”。

我们的起点，是在一台 Samsung 电视的浏览器应用程序内获得了一个 Shell，并提出了一个相当直接的问题：如果我们给 Codex 提供一种可靠的方法，使其能够针对真实设备及其对应的固件源代码开展工作，它能否将这一立足点一路提升到 root 权限？

Codex 必须枚举目标、缩小可达攻击面、审查对应的供应商驱动源代码、在真实设备上验证一个物理内存原语、让其工具链适应 Samsung 的执行限制，并不断迭代，直到浏览器进程在一台真实被攻陷的设备上获得 root 权限。

目录

• 胸背带
• 目标
• 事实
• 漏洞
• 约束条件
• 原语
• 根本原因
• 攻击链
• 漏洞利用
• 最终运行
• 兄弟情谊
• 结论

胸背带

我们没有提供漏洞或利用“食谱”。我们提供的是一个 Codex 能够实际运行的环境，而理解这一点最简单的方法，就是把各个组成部分拆开来看。

KantS2 是 Samsung 对该设备型号所用智能电视固件的内部平台名称。

设置如下：

• [1] 浏览器立足点： 我们已经在电视上浏览器应用自身的安全上下文中获得了代码执行能力，这意味着任务不再是“想办法获得代码执行”，而是“将浏览器应用中的代码执行转化为 root 权限”。

• [2] 控制主机： 我们有一台独立机器，能够构建 ARM 二进制文件、通过 HTTP 托管文件，并连接到电视上实际处于活动状态的 Shell 会话。

• [3] Shell 监听器： 目标 Shell 是通过 tmux send-keys 驱动的，这意味着 Codex 必须向一个已经在运行的 Shell 注入命令，然后从日志中恢复结果，而不能把这台电视当作一个全新的交互式终端来处理。

• [4] 匹配的源代码发布： 我们拥有与对应固件家族相匹配的 KantS2 源代码树，这使得 Codex 能够审计 Samsung 自有的内核驱动代码，并随后在真实设备上验证这些发现。

• [5] 执行约束： 目标设备要求使用静态 ARMv7 二进制文件，而由于 Samsung Tizen 的未授权执行预防机制（UEP），未签名程序无法直接从磁盘运行。

• [6] memfd 封装器： 为绕过 UEP，我们已经有一个辅助工具，可将程序加载到匿名内存文件描述符中，并从内存而非普通文件路径执行。

在这种设置下，Codex 的循环很简单：检查源代码和会话日志，通过控制器和由 tmux 驱动的 Shell 向电视发送命令，从日志中读回结果；当需要辅助工具时，就在控制器上构建它，让电视获取该工具，再通过 memfd 运行。几条简短的提示语就将这一操作循环明确了下来：

目标

开场提示词被刻意设定得较为宽泛：

我们设定了目标，并将路径保持开放。我们没有让 Codex 针对某个驱动程序，没有暗示物理内存，也没有提及内核凭证，因此它必须将这次会话视为一次真正的提权搜寻，而不是一次验证性练习。

第二个提示缩小了标准：

我们提高了门槛：这个漏洞必须存在于源代码中、实际存在于设备上，并且能够从浏览器 Shell 触达。Codex 的输出很快将范围缩小到明确的候选目标。

事实

随后，我们向 Codex 提供了将作为此次会话其余部分锚点的事实：

uid=5001(owner) gid=100(users)
Linux Samsung 4.1.10 ...
/dev/... /proc/modules ... /p​roc/cmdline ...

这组信息完成了大部分框架搭建工作。浏览器身份界定了权限边界，随后又成为 Codex 用于在内存中识别浏览器进程内核凭证特征的一部分。内核版本缩小了代码库范围，设备节点定义了可触达的接口，而 /p​roc/cmdline 则在之后为物理扫描提供了内存布局线索。

漏洞

Codex 很快将目标锁定在一组向浏览器 Shell 开放、全局可写的 ntk* 设备节点上：

crw-rw-rw-  1 root root 210,0  ntkhdma
crw-rw-rw-  1 root root 251,0  ntksys
crw-rw-rw-  1 root root 217,0  ntkxdma

Codex 之所以聚焦这一驱动家族，是因为它已在设备上加载、可从浏览器 Shell 访问，并且存在于已发布的源码树中。阅读对应的 ntkdriver 源码后，Novatek 的关联也随之明朗：整个源码树中遍布 Novatek Microelectronics 的标识，因此这些 ntk* 接口并非电视上的不透明设备名称，而是 Samsung 所出货的 Novatek 技术栈的一部分。这为此次会话提供了明确方向。

约束条件

在某个阶段，我们不得不给 Codex 施加一项本可能轻易让这次会话偏离正轨的约束：

/proc/iomem 是推断物理内存布局的常规途径之一，因此失去它影响很大。Codex 随即转向另一个可靠的信息来源——/p​roc/cmdline：

mem=400M@32M mem=256M@512M mem=192M@2048M

这些启动参数已足以重建后续扫描所需的主要 RAM 窗口。

原语

将范围缩小到 ntksys 和 ntkhdma 后，Codex 审计了对应的 KantS2 源代码，并找到了使后续整个会话成为可能的原语。

/dev/ntksys 是三星的一个内核驱动接口，它接受来自用户空间的物理地址和大小，将这些值存入表中，然后通过 mmap 将该物理内存重新映射回调用方的地址空间。这就是我们此处所说的 physmap 原语：一条让用户空间访问原始物理内存的路径。其实际影响很直接。如果浏览器 Shell 能以这种方式使用 ntksys，Codex 就不需要内核代码执行技巧；它只需要找到一个可被可靠覆写的内核数据结构。

从那时起，这条路径已不再是内核控制流漏洞利用，而是建立在物理内存访问之上的纯数据提权。

根本原因

1. ntksys 被有意暴露给无特权调用方

随附的 udev 规则向 /dev/ntksys 授予了全局可写访问权限：

来源：sources/20_DTV_KantS2/tztv-media-kants/99-tztv-media-kants.rules

KERNEL=="ntksys", MODE="0666", SECLABEL{smack}="*"

这本身就已经是一个严重的设计错误，因为 ntksys 并非无害的元数据接口，而是一个内存管理接口。

2. 用户空间控制物理基址和大小

该驱动接口围绕 ST_SYS_MEM_INFO 构建：

来源：ker_sys.h

typedef struct _ST_SYS_MEM_INFO
{
    EN_SYS_MEM_TYPE enMemType;
    u32             u32Index;
    u32             u32Start;
    u32             u32Size;
} ST_SYS_MEM_INFO;

#define KER_SYS_IOC_SET_MEM_INFO _IOWR(VA_KER_SYS_IOC_ID, 1, ST_SYS_MEM_INFO)

u32Start 和 u32Size 直接来自用户空间。攻击者只需要这两个值，就能把这个接口变成一个原始物理内存映射。

3. SET_MEM_INFO 校验的是槽位，而不是物理地址范围

关键写入路径位于 ker_sys.c，约在第 1158 行：

u32Idx = stMemInfo.u32Index;
if( u32Idx >= MAX_UIO_MAPS )
    lError = -EFAULT;
else {
    g_astMemInfo[u32Idx].enMemType = stMemInfo.enMemType;
    g_astMemInfo[u32Idx].u32Index  = u32Idx;
    g_astMemInfo[u32Idx].u32Start  = stMemInfo.u32Start;
    g_astMemInfo[u32Idx].u32Size   = stMemInfo.u32Size;
    lError = ENOERR;
}

驱动程序会检查表索引是否有效，但不会检查所请求的物理地址范围是否属于内核拥有的缓冲区、是否与 RAM 重叠、是否跨越特权区域，或者调用方是否根本有权对其进行映射。

4. mmap 会原样重映射所选的 PFN

对应的映射路径位于 ker_sys.c 中，大约在第 1539 行：

m = vma->vm_pgoff;
if( m >= MAX_UIO_MAPS ) return -EINVAL;
if( g_astMemInfo[m].enMemType == EN_SYS_MEM_TYPE_MAX ) return -EINVAL;
...
iRetVal = vk_remap_pfn_range( vma, vma->vm_start,
                              g_astMemInfo[m].u32Start >> PAGE_SHIFT,
                              vma->vm_end - vma->vm_start,
                              vma->vm_page_prot );

vma->vm_pgoff 用于选择槽位，而槽位内容由攻击者控制。随后，驱动程序将用户选定的 PFN 直接传递给 vk_remap_pfn_range。到这一步，内核已不再对物理内存实施权限隔离。

5. ntkhdma 通过泄露物理地址让验证变得更容易

/dev/ntkhdma 提供了一个很有帮助的辅助原语：

来源：ker_hdma.c

case KER_HDMA_IO_GET_BUFF_ADDR: {
    if( vk_copy_to_user( ( void __user * )u32Arg, &gu32HDMAMemPhysAddr, sizeof( u32 ) ) ) {
        iError = -EFAULT;
        break;
    }
    break;
}

这并不是核心的提权漏洞，但在实际利用中很有用。它会向非特权代码提供一个已知可用的物理地址，该地址可通过 ntksys 进行映射，从而在接触任意 RAM 之前先验证该原语能够正常工作。

利用链

Codex 并未从源代码审计直接跳到最终利用。它是分阶段构建起这条验证链的。

首先，它编写了一个小型辅助程序，与 /dev/ntkhdma 通信，并请求获取设备 DMA（直接内存访问）缓冲区的物理地址。DMA 缓冲区是驱动程序用于直接硬件访问的内存，这里的关键并不在于 DMA 本身，而在于驱动程序竟愿意向一个非特权进程提供真实的物理地址。首次被保存下来的成功结果如下：

python3 rmem.py ntkhdma_leak
HDMA buffer phys addr: 0x84840000

这为 Codex 提供了一个安全、已知可用的物理页用于测试。随后，它又编写了第二个辅助程序，以回答一个更危险的问题：如果通过 ntksys 注册该物理地址，是否真的能够将该页映射到用户空间，并从浏览器 Shell 中对其进行读写？答案是肯定的：

HDMA buffer phys addr: 0x84840000
HDMA buffer[0] = 0x00000010
read32: 00000010 fd02005c 00000000 fc0d0430
writing 0x41414141 to mapped address...
readback: 0x41414141

在该输出出现之前，这一问题仍只是有源代码支撑的理论；在它出现之后，Codex 已经证明，电视上的非特权进程可以读取并写入一个选定的物理页。剩下的问题就是该破坏哪个内核对象。

漏洞利用

这次利用并非出自我们之手。我们从未告诉 Codex 去修改 cred，从未解释过 cred 是什么，也从未指出浏览器进程的 uid=5001 和 gid=100 会在内存中形成可识别的模式。

这一选择是它基于已验证成功的原语直接推导出来的。

对于不熟悉 Linux 内核机制的人来说，cred 是内核中用于存储进程身份信息的结构：用户 ID、组 ID 以及相关凭证字段。如果你能覆写正确的 cred，就能改变内核对该进程身份的判断。一旦 Codex 获得了对物理内存的任意访问能力，剩余步骤就变得很直接：扫描从 /p​roc/cmdline 恢复出的 RAM 窗口，查找浏览器进程的凭证模式，将身份字段清零，然后启动一个 Shell。

实时 Shell 为 Codex 提供了身份值，源代码审计为其提供了原语，早期辅助程序已验证了该原语，而最终利用则将这些部分连接起来，无需任何复杂的内核控制流技巧。

最终运行

到我们进行最终运行时，最困难的部分其实已经就位。我们已经掌握了攻击面、原语、部署路径以及利用代码。最后一条人工提示是：

Codex 通过控制器路径推送了最终利用链，让电视获取它，通过内存中的包装器运行，并等待结果。输出为：

[*] scanning range 0x02000000 - 0x1b000000
[*] map chunk phys=0x07400000 size=0x00100000
[+] cred match at phys 0x07498080 -> patching
[+] cred match at phys 0x07498580 -> patching
...
[+] patched creds, launching /bin/sh
id
uid=0(root) gid=0(root) groups=29(audio),44(video),100(users),201(display),1901(log),6509(app_logging),10001(priv_externalstorage),10502(priv_mediastorage),10503(priv_recorder),10704(priv_internet),10705(priv_network_get) context="User::Pkg::org.tizen.browser"

Codex 首次留存下来的确认内容是：

到那时，这条攻击链已经历了攻击面选择、源代码审计、实时验证、PoC 开发、面向目标的特定构建处理、远程部署、在 memfd 下执行、迭代调试，最后通过覆盖凭据将浏览器 Shell 提权为 root。

这段“兄弟情”

在推动 Codex 抵达最终目标的过程中，如果我们不立即把它拉回正轨，它显然就会偏离方向。以下是其中一些真实的交互：

说实话，这让整个过程比我们原先设想的更贴近现实。有时一次就能成功，而有时你确实需要与 Codex 建立那种真实的互动。如果我们只是把它当成一台没有灵魂的漏洞挖掘和利用开发机器，这件事根本不可能完成！

结论

这次会话之所以值得记录，在于整个循环本身的形态。我们先在一台已被攻陷的电视上建立了一条控制路径，为它提供对应的源代码树，以及构建和部署代码的能力；从那时起，工作就变成了反复进行检查、测试、调整和重新运行的循环，直到浏览器中的初始立足点最终转化为设备上的 root 权限。

这项实验是更大规模演练的一部分。浏览器 Shell 并不是 Codex 凭空神奇获得的。我们此前已经利用该设备取得了最初的立足点。这里的目标更为明确：在一个现实的后渗透位置下，AI 能否一路将权限提升至 root？

下一步显而易见（也多少有些令人担忧）：让 AI 从头到尾完成整个过程。希望它会永远被困在电视机里，悄无声息地提升权限，顺便看着我们的情景喜剧。

文章与 PoC： https://github.com/califio/publications/blob/main/MADBugs/samsung-tv/。

—dp