本次分析从华为应用中心(app-store)下载的某地铁app
分析工具使用了源伞科技Pinpoint
扫描结果
共计找到122个致命问题, 148个严重问题 375个中等问题以及 11537个建议改进问题。其中包括444个可能引起崩溃或异常的错误,277个安全隐私类问题以及897个执行效率低下问题。
现举例如下:
安全隐私高危漏洞:
| 漏洞 | 路径注入–该漏洞可以使得恶意攻击者覆盖任意文件 |
|---|---|
| 位置 | yedemo/zw.java,yedemo.zw.b函数 (应该是名称混淆后的结果) |
漏洞触发大概逻辑如下:
void b(String var1) throws IOException {
…
// 1这里打开了一个压缩文件
ZipFile var4 = new ZipFile(var1);
// 2 这里读取压缩文件的内容
Enumeration var5 = var4.entries();
…
while(true) {
ZipEntry var15;
boolean var16;
// 3 do-while循环找到一个不是文件夹的普通文件,并存储到var15里
do {
boolean var11 = var5.hasMoreElements();
if (!var11) {
var4.close();
var3.delete();
return;
}
var15 = var5.nextElement();
var16 = var15.isDirectory();
} while(var16);
…
String var9 = this.c;
String var19 = var15.getName();
// 4 这里拼接了 var9 + var15.name, 作为路径打开文件,这里this.c猜测是某地铁的数据存储路径
// 漏洞:如果zip文件中的文件名中特殊字符,比如”../../../system/system_config”就会覆盖系统文件,有可能攻击整个系统
File var8 = new File(var9, var19);
…
}
这里 ZipEntry.isDirectory函数定义如下:
这个无法防御类似”…/…/…/system/system_config”的而已输入
File的构造函数如下:
这个也无法防御传给child的类似”…/…/…/system/system_config”的恶意参数,说明中也有提示:
本漏洞属于去年爆出的ZipSlip漏洞,这是一种任意覆盖文件的漏洞,也就是说能够覆盖现有文件。它是由目录遍历攻击触发的,攻击者从归档文件(archive)解压缩文件的同时,还可以访问受限制的目录。顾名思义,这个安全漏洞不仅与著名的ZIP格式等归档格式有关,还与其他一些格式有关,包括tar、jar、war、cpio、apk、rar和7z。这个漏洞可能会导致这种情形:攻击者可以解压缩平常解压缩路径之外的文件,覆盖敏感文件,比如关键的操作系统库或服务器配置文件。
| 漏洞 | Null Pointer Exception:该漏洞可能导致程序闪退,抛空指针异常 |
|---|---|
| 位置 | 该漏洞跨越3个文件yedemo/aqv.java,yedemo/aqs.java yedemo/arc.java,跨越yedemo.aqv.a, yedemo.aqs.a, yedemo.arc.a3个函数 (应该是名称混淆后的结果) |
漏洞触发大概逻辑如下:
yedemo.arc.a(var1) {
…
try {
PackageManager var6 = var0.getPackageManager();
byte var4 = 64;
var7 = var6.getPackageInfo(var1, var4);
} catch (NameNotFoundException var20) {
return null;
}
…
If (var7.signature.length == 0) {
return null;
}
}
这里在发生异常或者signature长度为0的时候可以返回空指针
yedemo.aqs.a(var1) {
if (var1 != null) {
…
var14 = arc.a(var1, var1.getPackageName());
xxx = aqv.a(var14);
…
}
}
yedemo.aqs.a(var14) {
…
byte[] var3 = var14.getBytes();
…
}
这里arc.a的返回值var14直接传给了aqv.a, 然后aqv.a直接使用了这个空指针,导致空指针异常
| 漏洞 | 代码风格问题:使用string类型判等的时候要使用String.equals(), 直接使用等号或不等号判定会导致和语义不一致的结果。 |
|---|---|
| 位置 | com/indoor/navigation/navi/Navigation.java,com.indoor.navigation.navi.Navigation.a函数 (应该是名称混淆后的结果) |
正常来说,我们期待String a =new String(”123”), 对于a==”123”应该要返回true。然而代码使用== 或!=运算符比较的是java.lang.String对象的引用相等性而不是值得相等型,比如String a =new String(”123”), 对于a==”123”的判定会返回false而不是按照字符串的值返回true。属于非常危险的调用,应该使用String.equals()方法可以确定按照字符串实际的值来比较
例如:这段代码的输出是
'=' : False
'equals' : True
public class HelloWorld {
public static void main(String[] args) {
String a = new String("123");
if(a == "123") {
System.out.println("'=' : True");
} else {
System.out.println("'=' : False");
}
if(a.equals("123")) {
System.out.println("'equals' : True");
} else {
System.out.println("'equals' : False");
}
}
}
一个触发实例位置:com/indoor/navigation/navi/Navigation.java,com.indoor.navigation.navi.Navigation.a函数 (应该是名称混淆后的结果)
为国产静态代码分析工具源伞科技Pinpoint打Call!
4147
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
