小米浏览器地址栏欺骗漏洞原理与利用分析

最新推荐文章于 2023-03-31 21:25:08 发布
最新推荐文章于 2023-03-31 21:25:08 发布
阅读量1.2k 收藏 1
点赞数
文章标签: 小米浏览器漏洞 地址栏欺骗漏洞 android 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30135181/article/details/89532742
版权

0x00 概述

漏洞概述:通过构建URL使得用户地址栏显示正常的url地址,而实际访问的却是恶意网站

漏洞编号:CVE-2019-10875

测试环境: 小米Note 4

测试版本: v1.5.3

下载地址: apkmirror

影响版本: MI Browser (v10.5.6-g) and Mint Browser (v1.5.3)

0×01 漏洞原理

首先依旧是猜测一下漏洞挖掘的思路,这个实际上有点脑洞了,有可能是自己写的Fuzz脚本测试出来的,也有可能是凭借经验去测试出来。

但我们依旧可以总结最关键的点,那就是 可控数据流,我在我的文章中多次提到这个概念,只要有可控的数据流,那么就会有可能造成漏洞的地方。这里可控的入口点,自然是导航栏输入地址的地方。因此,我们先不管漏洞作者是如何挖掘,我们从最基本的入口去找即可。

我们可以使用UI Automator Viewer去查找导航栏的ID以及其调用的地方。
如下图所示,我们可以找到Resource-id,依次去找到调用的地方。

在这里插入图片描述

.field public static final url_bar:I = 0x7F0802A3
this.mUrlBar = this.findViewById(2131231395);

那么我们的任务就是搞清楚this.mUrlBar的数据调用过程,具体的同学们可以尝试着去逆向,顺着思路去学习一番。

这里给出调用链,可以供你们参考一下

at cn.tasfa.vulhookprj.HookMiBrowser$1.afterHookedMethod(HookMiBrowser.java:27)
at de.robv.android.xposed.XposedBridge.handleHookedMethod(XposedBridge.java:645)
at android.widget.TextView.setText(Native Method)
at com.miui.org.chromium.chrome.browser.omnibox.UrlBarViewBinder.bind(UrlBarViewBinder.java:60)
at com.miui.org.chromium.chrome.browser.omnibox.UrlBarCoordinator$1.bind(UrlBarCoordinator.java:49)
at com.miui.org.chromium.chrome.browser.omnibox.UrlBarCoordinator$1.bind(UrlBarCoordinator.java:46)
at com.miui.org.chromium.chrome.browser.modelutil.PropertyModelChangeProcessor.onPropertyChanged(PropertyModelChangeProcessor.java:75)
at com.miui.org.chromium.chrome.browser.modelutil.PropertyModelChangeProcessor.access$000(PropertyModelChangeProcessor.java:16)
at com.miui.org.chromium.chrome.browser.modelutil.PropertyModelChangeProcessor$1.onPropertyChanged(PropertyModelChangeProcessor.java:33)
at com.miui.org.chromium.chrome.browser.modelutil.PropertyObservable.notifyPropertyChanged(PropertyObservable.java:63)
at com.miui.org.chromium.chrome.browser.modelutil.PropertyModel.set(PropertyModel.java:177)
at com.miui.org.chromium.chrome.browser.omnibox.UrlBarMediator.pushTextToModel(UrlBarMediator.java:109)
at com.miui.org.chromium.chrome.browser.omnibox.UrlBarMediator.setUrlBarData(UrlBarMediator.java:97)
at com.miui.org.chromium.chrome.browser.omnibox.UrlBarCoordinator.setUrlBarData(UrlBarCoordinator.java:69)
at com.miui.org.chromium.chrome.browser.omnibox.LocationBarLayout.setOmniboxEditingText(LocationBarLayout.java:991)
at com.miui.org.chromium.chrome.browser.omnibox.NavigationBar.setDisplayTitle(NavigationBar.java:650)
at com.miui.org.chromium.chrome.browser.omnibox.NavigationBar.setUrlToPageUrl(NavigationBar.java:621)
at com.miui.org.chromium.chrome.browser.omnibox.LocationBarLayout.updateLoadingState(LocationBarLayout.java:1089)
at com.miui.org.chromium.chrome.browser.toolbar.ToolbarManager.updateTabLoadingState(ToolbarManager.java:1054)
at com.miui.org.chromium.chrome.browser.toolbar.ToolbarManager.updateCurrentTabDisplayStatus(ToolbarManager.java:1032)
at com.miui.org.chromium.chrome.browser.toolbar.ToolbarManager.refreshSelectedTab(ToolbarManager.java:987)
at com.miui.org.chromium.chrome.browser.toolbar.ToolbarManager.onNativeLibraryReady(ToolbarManager.java:745)
at com.miui.org.chromium.chrome.browser.toolbar.ToolbarManager.initializeWithNative(ToolbarManager.java:606)
at com.miui.org.chromium.chrome.browser.ChromeTabbedActivity.initializeUI(ChromeTabbedActivity.java:522)
at com.miui.org.chromium.chrome.browser.ChromeTabbedActivity.finishNativeInitialization(ChromeTabbedActivity.java:274)
at com.miui.org.chromium.chrome.browser.init.ChromeBrowserInitializer$7.initFunction(ChromeBrowserInitializer.java:243)
at com.miui.org.chromium.chrome.browser.init.ChromeBrowserInitializer$1NativeInitTask.run(ChromeBrowserInitializer.java:173)

实际上,我们找到关键的函数setDisplayTitle(Tab arg3)

void setDisplayTitle(Tab mTab) {
    int id;
    Resources mResource;
    if(mTab == null) {
        this.setUrlBarTextEmpty();
        return;
    }

    if(!this.isUrlBarFocused()) {
        if(this.mState != State.STATE_NORMAL) {
        }
        else {
            String url = mTab.getUrl();
            this.mUrlBar.setTag(url);
            if(mTab.isHome()) {
                this.setUrlBarTextEmpty();
                EditText editText = this.mUrlBar;
                if(this.mIsNightMode) {
                    mResource = this.getResources();
                    id = 2131034889;
                }
                else {
                    mResource = this.getResources();
                    id = 2131034886;
                }

                int color = mResource.getColor(id);
                editText.setHintTextColor(color);
            }
            else {
                if(TextUtils.isEmpty(((CharSequence)url))) {
                    this.setOmniboxEditingText(mTab.getTitle());
                    goto label_39;
                }

                String searchKeyWords = this.pickSearchKeyWords(url);  // 关键点就是这里,也是造成漏洞的关键原因
                if(this.isOnSearchResultPage(searchKeyWords)) {
                    this.setOmniboxEditingText(searchKeyWords);
                    goto label_39;
                }

                this.setOmniboxEditingText(this.stripUrl(url));
            }

        label_39:
            this.mUrlBar.setSelection(0);
            return;
        }
    }
}

接下来我们查看下函数pickSearchKeyWords

private String pickSearchKeyWords(String url) {
    String searchKeyword = null;
    if(url != null) {
        if(this.getCurrentTab() == null) {
        }
        else {
            url = this.getCurrentTab().getUrl();
            if(TextUtils.isEmpty(((CharSequence)url))) {
                return searchKeyword;
            }
            else {
                Uri uri = Uri.parse(url);
                String host = uri.getHost();
                if(TextUtils.isEmpty(((CharSequence)host))) {
                    return searchKeyword;
                }
                else {
                    searchKeyword = "";
                    String[] engineLabels = this.getSearchEngineLabels();
                    if(engineLabels != null && engineLabels.length > 0) {
                        int length = engineLabels.length;
                        int i;
                        for(i = 0; i < length; ++i) {
                            String searchEngine = engineLabels[i];
                            if(TextUtils.isEmpty(((CharSequence)searchEngine))) {
                            }
                            else if(host.contains(searchEngine.trim().toLowerCase())) {
                                searchKeyword = SearchEngineSwitchUtil.getInstance(this.mContext).getQueryParameterNameForSearchTermsMap(searchEngine);
                            }
                        }
                    }

                    if(searchKeyword == null) {
                        searchKeyword = "";
                    }

                    String keyWord = uri.getQueryParameter(searchKeyword);
                    if((TextUtils.isEmpty(((CharSequence)searchKeyword))) || (TextUtils.isEmpty(((CharSequence)keyWord)))) {
                        if(host.contains("yahoo.com")) {
                            keyWord = uri.getQueryParameter("p");
                        }
                        else if(host.contains("yandex.ru")) {
                            keyWord = uri.getQueryParameter("text");
                        }
                        else {
                            keyWord = uri.getQueryParameter("q");  // 也就是这里导致了漏洞
                        }
                    }

                    return keyWord;
                }
            }
        }
    }

    return searchKeyword;
}

0×02 漏洞利用

通过构造如下PoC:

http://www.tasfa.cn/?q=www.baidu.com

关键点 /?q=

地址栏显示的是www.baidu.com的地址,实际上访问的是www.tasfa.cn的地址,从而造成了地址栏地址欺骗的效果。

效果如下:

在这里插入图片描述

0×03 漏洞防御

  1. 作为个人用户,对于来历不明的链接,尽量不要进行点击操作
  2. 当进行一些敏感操作时,尽量手动输入地址,如手动输入银行地址,不要点击或复制他人提供的链接
  3. 作为开发者,应该在关键的地方点,进行代码审计,防止出现类似的漏洞。

0×04 参考

Unpatched Flaw in Xiaomi’s Built-in Browser App Lets Hackers Spoof URLs

Tasfa
关注
专栏目录
小米usb3.0修复补丁_小米薄荷浏览器URl欺骗漏洞(CVE-2019-10875)的安全修复被绕过
weixin_39821604的博客
11-23 1290
前几日,网络上曝出小米薄荷浏览器存在URL欺骗漏洞,攻击者可把恶意链接伪装成权威网站的URL,对受害者进行钓鱼攻击。小米公司在收到报告后迅速发布了安全补丁,修复了这一漏洞。但近期,又有人曝出该安全补丁不够严谨,轻易就可绕过。URl欺骗漏洞(CVE-2019-10875)据外媒报道,小米薄荷浏览器为了提升用户体验,在当你打开某个网络链接时,若链接类似于https://www.google.com/?...
小米浏览器导出html,一招教你导出小米uc浏览器缓存视频
weixin_42350514的博客
06-03 6761
一招教你导出小米uc浏览器缓存视频相信很多小伙伴都有在使用小米uc浏览器,那么我们怎么导出其中的缓存视频呢?方法很简单,下面小编就来为大家介绍。具体如下:1.首先,打开浏览器,任意进入其中的一个视频网站。2. 点击下图箭头所指处的下载图标。3. 将下图一所示软件安装到手机后,打开该软件。4. 出现下图所示页面后,选择“自定义”后,再点击“下一步”。5. 将软件保存至文件管理器根目录,即下图红圈所圈...
手机浏览器地址栏欺骗攻击卷土重来:为恶意攻击敞开大门
Katherine233的博客
12-14 194
手机浏览器の另类攻击卷土重来:真-伪地址栏攻击真假难辨
浏览器地址栏欺骗漏洞背后
weixin_33858485的博客
08-01 278
最近几个不同的Web浏览器出现地址栏欺骗漏洞。这些漏洞背后的问题是什么? JavaScript函数setInterval是HTML DOM窗口对象的一种方法,能连续执行指定代码。Deusen研究人员发现,通过使用setInterval函数每10秒重新加载网页,攻击者能够让地址栏显示真正有请求的站点的URL而浏览器上显示的则是攻击恶意网页的内容。在某些情...
小米也有漏洞,大家多关注一下自己的账号安全
dvxtzrbh的专栏
05-15 985
今日乌云平台有用户爆出小米论坛存在漏洞导致部分数据泄露,上午小米官方确认了这一漏洞,称确实有部分论坛帐号被非法获取,并表示2012年8月后注册小米账号的用户在本次事件中完全不受影响。 乌云平台的漏洞提交者称,小米论坛被拖库,可能影响小米移动云等敏感信息,乌云品太显示,该漏洞已经提交给厂商,目前正在处理中。 小米论坛 小米论坛漏洞 数据泄露 而在13日晚就有微博认证用户爆料了这一消
小米浏览器小米miui10提取版
03-12
小米自带浏览器小米miui10提取版 直接安装运行 无广告 不提示升级 可与MIUI账号同步书签 账号密码
小米文件浏览器
12-06
1. **源码分析**:源码是软件开发的核心,对于小米文件浏览器,开源意味着开发者可以查看并理解整个应用的工作原理。这包括了文件系统的遍历算法、UI界面的设计、事件处理机制等,这对于Android开发初学者或希望提升...
小米5 电路图 原理图 位置图
02-09
本文将详细解析与“小米5 电路图 原理图 位置图”相关的知识点,帮助电子爱好者和维修技术人员深入了解其内部构造和工作原理。 首先,电路图是理解任何电子设备工作原理的基础。小米5电路原理图展示了手机内部各个...
小米用户小心 一系统漏洞已被黑客抓到
weixin_33859504的博客
07-12 419
你用的小米手机吗?你的MIUI系统是7.2稳定版之前的系统吗?如果是,那么恭喜你中奖了。你的手机将很可能被黑客通过远程执行代码漏洞所控制。 小米的设备采用了自有的MIUI系统作为用户界面,这一系统脱胎于Android 6.0 。而发生问题的系统为MIUI7.2稳定版之前的版本。因此,现在的小米用户要先看一下自己的手机系统是否已经将系统更新到7.2之后,...
Safari、IE浏览器出现允许改写地址栏漏洞
mozhe_的博客
09-13 260
原文地址:https://www.hackeye.net/securityevent/16234.aspx 巴基斯坦安全研究人员Rafay Baloch发现,Safari浏览器中的漏洞允许攻击者控制地址栏上显示的内容,使得JavaScript可在完全加载网页之前更改地址栏,从而易出现用户难以识别的网络钓鱼攻击。 Rafay Baloch只在Safari和Edge浏览器中找出了这个漏洞,他发现后...
记一次小米路由器任意文件读取漏洞
最新发布
weixin_63021331的博客
03-31 1355
任意文件读取漏洞,是web安全里高危的漏洞,它可以泄露源码、数据库配置文件等等,导致网站处于极度不安全状态。而这里介绍的是小米路由器的nginx配置文件错误,导致目录穿越漏洞,实现任意文件读取(无需登录)具体登录进去就不说啦,毕节未经授权的登录是违法的。到这里对于该漏洞的说明就已经讲解完啦,该漏洞大多来源与香港和台湾,大陆也有,当然大家也可以拿到漏洞平台去获得小部分奖励。大陆的基本上都被修复了,这次的漏洞挖掘大家可以去学习和参考。
Android小米推送Demo解析和实现方法
totond的博客
10-22 8465
前言  最近这几个月都是在准备找工作和找工作中,付出了很多,总算是有点收获,所以都没有怎么整理笔记。到了最近才有空把自己的笔记整理一下发上来,分享一下我的学习经验。推送  由于最近项目要用到Android的消息推送,关于Android推送的解决方案有很多种,有C2DM,轮询, SMS,MQTT协议,XMPP协议和第三方平台,经过我们对项目需求的考虑之后我们选择了第三方平台推送的小米推送,下面就是小米
小米手机调试总出现“INSTALL_CANCELED_BY_USER”
chuxiong5717的博客
07-04 190
因为最近我的测试机酷派大神手机总是无法usb连接到电脑,所以我今天就用陪我走过漫长岁月的小米2s手机进行调试。开机后,提示我升级系统,那我就升级呗。 升级完成后,我就跟往常一样,就连上手机,在android studio里面run,然后选择设备,然后就等着安装至手机。可...
浏览器URL Scheme打开APP的那些坑
a1030260075的专栏
09-25 1万+
URL Scheme打开APP网上有很多的具体实现,这里不重复了,只说说实际开发中遇到的坑。 1.应用A配置了scheme,应用B是可以通过url scheme直接打开应用A里配置了scheme的特定页面; 2.如果是浏览器用url scheme打开app就不行,浏览器调用的时候会直接打开应用A的启动页面,而不是指定页面,并且会把Uri传给启动页(即使把scheme配置在其他页面也没用,只会打...
python + requests + selenium 模拟几个网站的登录
热门推荐
weixin_30904593的博客
05-06 3万+
一, 163邮箱 import time from selenium import webdriver def login(): acount_num = input('请输入账号:\n') passwd_str = input('请输入密码:\n') driver = webdriver.Chrome(executable_path='/Use...
MIUI13 安卓12 外部网址 URL 跳转应用 选择打开方式
林地宁宁的树洞
03-27 1万+
MIUI13 / 安卓12 中,由于链接处理方式的改变,点击外部 URL 默认只能跳转默认浏览器,以前安卓的“选择打开方式”不复存在。但是,通过 Better Open With 软件,可以重现“选择打开方式”的面板,以实现外部 URL 网址跳转手机中应用。
如何查看小米手机的IP地址和MAC地址
wudinaniya的博客
12-19 2万+
小米note为例 1 查看小米手机的IP地址及MAC地址的方法有很多,在主界面找到设置选项,或者下拉屏幕,找到设置。 2 找到设置里面的WLAN 3 进入wLAN设置后,首要条件是:开启WLAN,寻找并加入WIFI,因为你不加入WIFI的话,是不存在IP地址的(只能看到MAC地址)。 然后再下拉屏幕到最小面,找到高级设置。点击进入高级设置 4 进
小米公司财务报表与业务策略分析
"小米公司财务报表分析" 小米公司是一家在2010年成立的创新型科技企业,以智能手机和电子产品研发为主,同时构建智能生态链。公司秉持“为发烧而生”的理念,旨在让科技乐趣触及每一个人。小米通过互联网模式开发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值