1 简介:
在早期的Android系统中,就有一个Adbd漏洞,可能带来危险,本篇对这个漏洞进行一个分析说明。
第三方应用程序可以获取root权限。
在linux中,我们可以使用su命令来切换至root用户(当然,需要输入正确的root用户密码)。
Android系统底层也是采用的Linux系统,用户管理同样不例外。
对于第三方应用程序,如果获取了root权限,相当于整个Android系统都被打开了后门,第三方应用程序就能够访问其它应用或者Android系统的资源(数据,文件...),这是非常危险的。
2 adbd介绍:
adbd是android系统中的一个守护进程,而且具有root权限,是Android系统启动后,init进程启动的。
我们使用adb命令,执行的结果,其实就是通过和手机中的adbd守护进程进行交互,从而获取到了结果。下表是手机中的一个进程列表:
USER PID PPID VSIZE RSS WCHAN PC NAME
root 1 0 548 196 c00b8c14 0000d5cc S /init
root 2 0 0 0 c006bf70 00000000 S kthreadd
root 3 2 0 0 c005cc50 00000000 S ksoftirqd/0root 1684 1 3364 176 ffffffff 0000e8f4 S /sbin/adbd
root 1692 1684 776 348 c0059cd4 afe0d0ac S /system/bin/sh
adbd源码分析:
代码位置: system/core/adb/
adbd源码分析,请移步至:
3 adbd漏洞:
adbd进程以root权限开始启动,然后降权到shell用户。在Android2.2及以前的版本中,ADB守护进程在降权时不会检查setuid调用的返回值;
在此之前,adb.c中的代码都是以root权限运行,以完成部分初始化工作。通过调用setuid()将用户从root切换回shell,但setuid()在shell用户进程数达到上限RLIMIT_NPROC时,会失败,因此adb.c继续以root身份运行,而没有报错。
其中,RLIMIT_NPROC是Linux内核中定义的每个用户可以运行的最大进程数。
相关代码:
adb.c中,有:
int main(){
...
...
setgid(AIL_SHELL); // 失败不退出
setuid(AIL_SHELL); //同上
...
...
}
说明:
adbd进程启动,开始时会以root权限执行一些初始化操作,之后会降权至当前shell用户权限;但若降权失败,adbd进程不会退出,仍然启动起来,此时就是root权限的adbd进程。
4. 攻击代码原理:
不断fork子进程,然后退出,产生僵尸进程,使得当前shell用户的pid数达到上限(RLIMIT_NPROC),然后kill掉adbd进程,然后再迅速fork一个,使之仍然达到上限,这样将无法再为当前用户创建进程,过段时间,init进程会检测到当前没有adbd进程,会运行adb.c,利用漏洞得到root权限的adbd进程。
...
for(;;)
{
if ((p=fork())==0){
exit(0);
}
else if(p<0){
...
}
else{
...
}
}
...
5 漏洞的修复:
打log至logcat输出,并且判断setgid和setuid的返回值。
#include <cutils/log.h>
#define LOG_TAG "adb hooker"
int main(){
...
...
if(setgid(AIL_SHELL)!=0){
LOGE("failed to setgid for shell user");
exit(0);
}
if(setuid(AIL_SHELL)!=0){
LOGE("failed to setuid for shell user");
exit(0);
}
说明:
如果发现setgid和setuid函数执行失败,则adbd进程异常退出,这样,这个漏洞就修复了。