VPU 드라이버 MMIO 매핑 결함 통한 Pixel 10 Root 권한 획득

Context

Pixel 9에서 검증된 Dolby 0-click 취약점을 Pixel 10으로 이식하려는 시도에서 시작함. Tensor G5 칩셋의 VPU 드라이버가 V4L2 표준 API를 따르지 않고 하드웨어 인터페이스를 유저스페이스에 직접 노출하는 설계적 결함을 보유함.

Technical Solution

• RET PAC 도입으로 인한 __stack_chk_fail 덮어쓰기 불가 문제를 초기화 시 1회만 호출되는 dap_cpdp_init 함수 대체로 해결
• VPU 드라이버의 vpu_mmap 핸들러가 VMA 크기에 대한 경계 검사 없이 remap_pfn_range를 호출하는 로직 파악
• mmap 시스템 콜 시 레지스터 영역보다 큰 사이즈를 지정하여 물리 메모리의 광범위한 영역을 유저랜드 가상 주소 공간에 매핑
• VPU 레지스터 영역과 커널 이미지 간의 고정된 물리 주소 오프셋을 활용하여 커널 .text 및 .data 영역에 직접 접근
• 커널 함수를 임의로 덮어쓰는 방식으로 Kernel Code Execution 및 Root 권한 획득 구조 설계