Samsung KNOX 内核释放后使用（UAF）漏洞影响数百万台 Galaxy 设备

Samsung 的 KNOX 漏洞（CVE-2026-20971）是 PROCA/FIVE 中的一个内核 UAF 漏洞，可通过竞争条件实现内存破坏；Samsung 已于 2026 年 1 月修复。

专家在 Samsung 的 KNOX 堆栈中发现了一个严重的 kernel 漏洞，而令人不安的部分在于它存在于何处：位于旨在提高攻击者门槛的软件内部。CVE-2026-20971 是 PROCA 和 FIVE（两个帮助 Samsung 验证进程完整性的内核侧子系统）交互过程中的一个释放后使用（UAF）漏洞。

该漏洞源于一个竞争条件。FIVE 通过 task_integrity 对象跟踪进程，当进程更改状态（例如通过 fork 或调用 execve()）时，旧的完整性对象被释放，新的对象取而代之。这种交接本应是干净的，但 Android 的抢占式内核给攻击者提供了足够的喘息空间来击中这个间隙。一个线程可以读取指针，被挂起，然后回来使用已被释放的内存。

这就是 LucidBit Labs 描述的核心问题：

目标任务执行 execve()，特别是 task_integrity_put(old_tint)，释放了原始的 struct。下一步同样糟糕：“proc_integrity_value_read() 恢复执行，并使用指向已释放内存的指针调用 task_integrity_user_read()。”

Lucidbit Labs 发布的报告指出：“虽然相对直接，但竞争窗口非常小——运行 proc_integrity_value_read() 的进程需要在恰好的时机被调度出去（在由几个操作码组成的窗口内），并且被调度出去足够长的时间以控制内存。”

一旦发生这种情况，该漏洞就不再是理论上的。它是一个具有真实破坏路径的活跃 UAF 漏洞。

Samsung 的 KCFI 有所帮助，但未能挽救局面。它通过阻止任意函数调用缩小了滥用面，这是个好消息，但不足以消除该缺陷。研究人员仍然找到了一条路径：使进程加载一个无法执行的文件（一个非 ELF 文件），从而移除 reset_file refcount 阻塞器。然后，以完全可控的方式重新分配已释放的内存。

这并非学术噱头。LucidBit Labs 表示，该问题可以从不受信任的应用程序触发，并可能导致内核内存破坏，这正是攻击者喜欢的那种立足点。

报告继续说道：“该漏洞可以从任何不受信任的应用程序被利用，并允许攻击者获得多个内存破坏原语，可能导致设备完全被接管。”

Samsung 在 2026 年 1 月的更新中修复了该漏洞，受影响范围广泛：从 Galaxy S9 到 Galaxy S25，以及 A 系列设备和基于 Exynos 和 Qualcomm 的型号，涵盖 Android 13、14、15 和 16。

Samsung 自己的公告将该问题描述为 SMR Jan-2026 Release 1 之前 SecSettings 中的不当输入验证，并指出需要本地访问和用户交互。这听起来不那么可怕，但别忘了，在人们托付一切的设备上，“本地”通常意味着“一次粗心的点击”。丢失的手机、借用的手机、无人看管的手机、未完全擦除就出售的手机——攻击面迅速扩大。

更有趣的教训比一个 Samsung 漏洞更广泛。安全控制不会仅仅因为被标记为防御性就获得豁免。如果它们位于内核中、检查进程状态或调解信任决策，它们也是攻击面的一部分。防御者不能假设护栏不能用作抓手。这种假设代价高昂。

此案例也符合企业防御者非常熟悉的模式。一个始于移动内核问题的漏洞仍然可能对业务产生影响——如果员工设备被入侵，攻击者将其用作进入网络的跳板。移动端点始终在线、通常受信任，而且往往比笔记本电脑受到的监控更少。这是一个糟糕的组合。结论很简单：快速打补丁，并且不要仅仅因为安全工具被称为“安全”就认为它自动安全。

报告总结道：“修改过的代码，尤其是与复杂机制相关的代码，总是寻找漏洞的有趣领域。FIVE 是 Samsung KNOX 安全套件的一部分，正如我们所看到的，保护措施可能会增加攻击面。这项研究还展示了内核利用竞争条件相关的常见困难——短暂的竞争窗口加上需要在不同缓存中重新分配已释放内存。它还展示了内核 CFI 在这种情况下是多么有效的缓解措施，实际上阻止了任意调用原语。尽管如此，其他强大的原语确实存在。”