android launch 分析,安卓漏洞 CVE 2017-13287 复现分析

最新推荐文章于 2023-04-21 17:28:04 发布
最新推荐文章于 2023-04-21 17:28:04 发布
阅读量296 收藏
点赞数
文章标签: android launch 分析

197710?display=mobile

2018年4月,Android安全公告公布了CVE-2017-13287漏洞。与同期披露的其他漏洞一起,同属于框架中Parcelable对象的写入(序列化)与读出(反序列化)的不一致所造成的漏洞。在刚看到谷歌对于漏洞给出的补丁时一头雾水,

在这里要感谢heeeeen@MS509Team在这个问题上的成果,启发了我的进一步研究。

原理

谷歌在Android中提供了Parcelable作为高效的序列化实现,用来支持IPC调用中多样的对象传递需求。但是序列化和反序列化的过程依旧依靠程序员编写的代码进行同步。那么当不同步的时候,漏洞就产生了。

Bundle

传输的时候Parcelable对象按照键值对的形式存储在Bundle内,Bundle内部有一个ArrayMap用hash表进行管理。反序列化过程如下:

/* package */ void unparcel() {

synchronized (this) {

final Parcel parcelledData = mParcelledData;

int N = parcelledData.readInt();

if (N < 0) {

return;

}

ArrayMap map = mMap;

try {

parcelledData.readArrayMapInternal(map, N, mClassLoader);

} catch (BadParcelableException e) {

} finally {

mMap = map;

parcelledData.recycle();

mParcelledData = null;

}

}

}

首先读取一个int指示里面有多少对键值对。

/* package */ void readArrayMapInternal(ArrayMap outVal, int N,

ClassLoader loader) {

if (DEBUG_ARRAY_MAP) {

RuntimeException here = new RuntimeException("here");

here.fillInStackTrace();

Log.d(TAG, "Reading " + N + " ArrayMap entries", here);

}

int startPos;

while (N > 0) {

if (DEBUG_ARRAY_MAP) startPos = dataPosition();

String key = readString();

Object value = readValue(loader);

outVal.append(key, value);

N--;

}

outVal.validate();

}

之后的每一对先是Key的字符串,然后是对应的Value。

public final Object readValue(ClassLoader loader) {

int type = readInt();

switch (type) {

case VAL_NULL:

return null;

case VAL_STRING:

return readString();

case VAL_INTEGER:

return readInt();

case VAL_MAP:

return readHashMap(loader);

case VAL_PARCELABLE:

return readParcelable(loader);

case VAL_SHORT:

return (short) readInt();

case VAL_LONG:

return readLong();

值内部先是一个int指示值的类型,再存储实际值。

当Bundle被写入Parcel时:

void writeToParcelInner(Parcel parcel, int flags) {

final ArrayMap map;

synchronized (this) {

if (mParcelledData != null) {

if (mParcelledData == NoImagePreloadHolder.EMPTY_PARCEL) {

parcel.writeInt(0);

} else {

int length = mParcelledData.dataSize();

parcel.writeInt(length);

parcel.writeInt(BUNDLE_MAGIC);

parcel.appendFrom(mParcelledData, 0, length);

}

return;

}

map = mMap;

}

}

先写入Bundle总共的字节数,再写入魔数,之后是指示键值对数的N,还有相应的键值对。

LaunchAnyWhere

弄明白Bundle的内部结构后,先来看看漏洞触发的地方:

197710?display=mobile

这个流程是AppA在请求添加一个帐号:

AppA请求添加一个帐号

System_server接受到请求,找到可以提供帐号服务的AppB,并发起请求

AppB返回了一个Bundle给系统,系统把Bundle转发给AppA

AccountManagerResponse在AppA的进程空间中调用startActivity(intent)调起一个Activity。

在第4步中,如果AppA的权限较高,比如Settings,那么AppA可以调用正常App无法调用的未导出Activity。

并且在第3步中,AppB提供的Bundle在system_server端被反序列化,之后system_server根据之前得到的内容再序列化并传递给AppA。那么如果对应的传递内容的序列化和反序列化代码不一样,就会影响到自己以及之后的内容的结果。

传递的Bundle对象中包含一个重要键值对{KEY_INTENT:intent},指定了AppA稍后调用的Activity。如果这个被指定成Setting中的com.android.settings.password.ChooseLockPassword,就可以在不需要原本锁屏密码的情况下重新设置锁屏密码。

谷歌在这个过程中进行了检查,保证Intent中包含的Activity所属的签名和AppB一致,并且不是未导出的系统Actiivity。

protected void checkKeyIntent(int authUid, Intent intent) throws SecurityException {

long bid = Binder.clearCallingIdentity();

try {

PackageManager pm = mContext.getPackageManager();

ResolveInfo resolveInfo = pm.resolveActivityAsUser(intent, 0, mAccounts.userId);

ActivityInfo targetActivityInfo = resolveInfo.activityInfo;

int targetUid = targetActivityInfo.applicationInfo.uid;

if (!isExportedSystemActivity(targetActivityInfo)

&& (PackageManager.SIGNATURE_MATCH != pm.checkSignatures(authUid, targetUid))) {

String pkgName = targetActivityInfo.packageName;

String activityName = targetActivityInfo.name;

String tmpl = "KEY_INTENT resolved to an Activity (%s) in a package (%s) that "

+ "does not share a signature with the supplying authenticator (%s).";

throw new SecurityException(

String.format(tmpl, activityName, pkgName, mAccountType));

}

} finally {

Binder.restoreCallingIdentity(bid);

}

}

攻击思路便是在system_server进行检查时Bundle中的恶意{KEY_INTENT:intent}看不到,但是在重新序列化之后在Setting出现,这样就绕过了检查。

利用

首先来看看漏洞所在的代码

public static final Parcelable.Creator CREATOR

= new Parcelable.Creator() {

@Override

public VerifyCredentialResponse createFromParcel(Parcel source) {

int responseCode = source.readInt();

VerifyCredentialResponse response = new VerifyCredentialResponse(responseCode, 0, null);

if (responseCode == RESPONSE_RETRY) {

response.setTimeout(source.readInt());

} else if (responseCode == RESPONSE_OK) {

int size = source.readInt();

if (size > 0) {

byte[] payload = new byte[size];

source.readByteArray(payload);

response.setPayload(payload);

}

}

return response;

}

@Override

public VerifyCredentialResponse[] newArray(int size) {

return new VerifyCredentialResponse[size];

}

};

@Override

public void writeToParcel(Parcel dest, int flags) {

dest.writeInt(mResponseCode);

if (mResponseCode == RESPONSE_RETRY) {

dest.writeInt(mTimeout);

} else if (mResponseCode == RESPONSE_OK) {

if (mPayload != null) {

dest.writeInt(mPayload.length);

dest.writeByteArray(mPayload);

}

}

}

仔细阅读,会发现在mResponseCode为RESPONSE_OK时,如果mPayload为null,那么writeToParcel不会在末尾写入0来正确的指示Payload部分的长度。而在createFromParcel中是需要readInt来获知的,这个就带来了序列化与反序列化过程的不一致。可以通过精心构造的payload来绕过检查。

难点在于和已经有人公开过的CVE-2017-13288和CVE-2017-13315不同,它们是重新序列化之后会多出来4个字节。这里是重新序列化之后会少4个字节。

解决方案

197710?display=mobile

利用String的结构,把恶意intent隐藏在String里。上图每段注释的括号里写了其所占用的字节数。

在第一次反序列化时,VerifyCredentialResponse内部的0还在,恶意intent被包装在第二对的Key中。第二对的值的类型被制定为VAL_NULL,也就是什么都没有,常量值为-1。

再次序列化时writeToParcel没有writeInt(0),所以到达Setting的Bundle在RESPONSE_OK之后没有0,原本的String length被视作payload length,调用readByteArray读取。

static jbyteArray android_os_Parcel_createByteArray(JNIEnv* env, jclass clazz, jlong nativePtr)

{

jbyteArray ret = NULL;

Parcel* parcel = reinterpret_cast(nativePtr);

if (parcel != NULL) {

int32_t len = parcel->readInt32();

// sanity check the stored length against the true data size

if (len >= 0 && len <= (int32_t)parcel->dataAvail()) {

ret = env->NewByteArray(len);

if (ret != NULL) {

jbyte* a2 = (jbyte*)env->GetPrimitiveArrayCritical(ret, 0);

if (a2) {

const void* data = parcel->readInplace(len);

memcpy(a2, data, len);

env->ReleasePrimitiveArrayCritical(ret, a2, 0);

}

}

}

}

return ret;

}

再次调用readInt32读取长度,之后截取数组内容。相应的从Payload length开始的指定长度的内容都被视作payload。只要设置得当,恶意intent就会显露出来成为实质上的第二对键值对。

那么之前作为第二对值的VAL_NULL怎么办?之前提过它的常量值是-1,上一对恶意intent刚结束,在这里调用的是readString这个函数。

const char16_t* Parcel::readString16Inplace(size_t* outLen) const

{

int32_t size = readInt32();

// watch for potential int overflow from size+1

if (size >= 0 && size < INT32_MAX) {

*outLen = size;

const char16_t* str = (const char16_t*)readInplace((size+1)*sizeof(char16_t));

if (str != NULL) {

return str;

}

}

*outLen = 0;

return NULL;

}

再次的readInt32,得到-1,直接返回null,长度为0,会在JNI层中创建一个空字符串返回到java层。那么就是说:VAL_NULL单独作为一个空字符串被读取,之后的三个蓝色块被视作值。

这里因为之后的字符串是123456,所以string_length是6.

这个很关键,因为在Settings这里被readValue视作type,而6正好是VAL_STRING,也即字符串类型。于是ord('1')= 0x31被视作String length正常使用,正常读取字符串。

至此Settings侧正常读取完毕,恶意intent被读取并执行。

假String的构造

之前略过了包含恶意intent的假String的具体padding过程,这里展开:

String_length(4) + Payload_length(4) + PADDING(Size + 16) + EVIL_INTENT(Size) + PADDING(8)

String_length = Payload_length = (4 + 4 + Size + 16 + Size + 8) / 2 – 1 = Size + 15

这里先给出公式,Size在这里就是Evil_intent部分的长度,String_length和Payload_length在Setting侧都被视作payload的长度使用,故相同。

从两个视角去审视这个公式:

system_server侧

对于system_server来说,从String_length开始的部分就是单纯的一个字符串,那么它先读取String_length并套用readString16Inplace中的公式。它会从String_length之后读取$ 2(1 + Size + 15)=2Size + 32 $,正好包括总长。

Settings侧

对于Settings来说,从Payload_length之后会直接截取对应长度的内容作为数组,即Payload_length之后$Size + 15$,因为Parcel底层的操作对4向上凑整,所以正好露出EVIL_INTENT。

这样就可以达成效果。

结果

197710?display=mobile

总结

在IPC这块就算谷歌引入了AIDL这种方式来规定接口,哪怕只是中间所用到的类的序列化过程出现一点失误都会造成如此严重的漏洞。可见安全编程以及代码审计的必要性,没准以后还会有类似机理的漏洞被发掘出来。

weixin_39919089
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
03 - CVE-2019-14287漏洞复现
weixin_43586169的博客
03-29 1088
一个简单的Linux系统的CVE漏洞
Android BackgroundViewPager实现桌面launch移动-IT计算机-毕业设计.zip
04-01
前几年的Android应用源码Demo,主要面向的是学生毕业设计学习。
【网络安全】CVE漏洞分析以及复现
Android_wxf的博客
04-21 1624
这个比 Shiro550、Shiro721 要增加一些东西,首先看 pom.xml 这个配置文件,因为漏洞是 shiro 1.0.0 版本的。Shiro 在路径控制的时候,未能对传入的 url 编码进行 decode 解码,导致攻击者可以绕过过滤器,访问被过滤的路径。的 bypass 方式也是合理的,可能一些其他特殊字符也是可以的,前提是对请求并不造成影响,像。继续往下走,判断 html 的目录与当前请求的目录是否相同,因为我们请求被拆分出来是。的匹配范围,这里之前我们设定的访问方式是。
Android 漏洞修复
Android格调小窝
08-01 1422
由于系统没有限制已注册JAVA类的方法调用,因此未注册的其它任何JAVA类也可以被反射机制调用,这样可能导致被篡改的URL中存在的恶意代码被执行,用户手机被安装木马程序,发送扣费短信,通信录或者短信被窃取,甚至手机被远程控制。在金融类或者通讯类app中可能会导致重要信息被窃取。webviewClient中有onReceivedError方法,当出现证书校验错误时,我们可以在该方法中使用handler.proceed()来忽略证书校验继续加载网页,或者使用默认的handler.cancel()来终端加载。..
CVE-2017-8890漏洞分析与利用(Root Android 7.x)
omnispace的博客
02-04 2768
漏洞简介 cve.mitre.org 网站给出的信息如下: The inet_csk_clone_lock function in net/ipv4/inet_connection_sock.c in the Linux kernel through 4.10.15 allows attackers to cause a denial of service (double free
android 服务端 漏洞,安卓漏洞 CVE 2017-13287 复现详解-
weixin_33376592的博客
05-25 515
2018年4月,Android安全公告公布了CVE-2017-13287漏洞。与同期披露的其他漏洞一起,同属于框架中Parcelable对象的写入(序列化)与读出(反序列化)的不一致所造成的漏洞。在刚看到谷歌对于漏洞给出的补丁时一头雾水,在这里要感谢heeeeen@MS509Team在这个问题上的成果,启发了我的进一步研究。原理谷歌在Android中提供了Parcelable作为高效的序列化实现,...
Android高级应用源码-BackgroundViewPager实现桌面launch移动.zip
10-14
Android高级应用源码-BackgroundViewPager实现桌面launch移动.zip
android-rocket-launcher:从终端启动android模块
02-03
android-rocket-launcher:从终端启动android模块
安卓Android源码——BackgroundViewPager实现桌面launch移动.rar
10-10
安卓Android源码——BackgroundViewPager实现桌面launch移动.rar
Android Launch Process(安卓系统启动过程)
12-25
Android的系统启动流程,从开机到打开桌面的大概流程。
Android 程序安全漏洞检查
10-25
该文档,主要正对 Android 程序存在的漏洞,提供了一套安全检查的标准。
CVE-2017-8890- 8.x以下的root漏洞
04-04
CVE-2017-8890- 8.x以下的root漏洞
绕过Android域名白名单校验的方法
键盘的起始页
02-24 608
而AbstractHierarchicalUri又是继承自Uri,所以很容易想到,通过反射调用HierarchicalUri这个私有构造函数,传入构造好的 authority 和 path, 创建一个任意可控的Uri实例。然而,对于第一个链接,浏览器会自动把反斜杠 "\" 纠正为正斜杠 "/"对于第二个链接,反斜杠 "\" 会以 URL 编码形式保留而无法触发方法1。事实上,有大量的开发者因为不了解这个性质,认为传入的 url 已经是”正常“通过。,才是被攻击的 Activity 拉起的实际地址。
Android11 九宫格解锁流程
m0_53696288的博客
09-22 596
在我们分析完锁屏的一整个显示流程后,我们接着来分析一下上滑解锁的流程。
ADB配置提权漏洞CVE-2017-13212)原理与利用分析
Tasfa的博客
03-05 2210
*本文原创作者:Tasfa,本文属FreeBuf原创奖励计划,未经许可禁止转载 原文链接 http://www.freebuf.com/articles/terminal/161843.html 0×01 背景 adb由于拥有shell权限,因此仅在授权PC端后才可使用shell权限,而通过该漏洞,可以实现在移动端获取shell权限,以致于可随意删除应用、屏幕截图等等高权限操作。不过移动端恶...
EvilParcel漏洞分析
cullen2012的博客
09-10 634
介绍 (Introduction) In mid-April, we published news about the 4月中旬,我们发布了有关 Android.InfectionAds.1 (Android.InfectionAds.1) trojan, which exploited several critical vulnerabilities in Android. One...
蓝牙App漏洞系列分析之一CVE-2017-0601
12-17 356
蓝牙App漏洞系列分析之一CVE-2017-0601 0x01 概要 2017年5月的 Android 安全公告修复了我们提交的一个蓝牙提权中危漏洞,这个漏洞尽管简单,但比较有意思,能够使本地恶意 App 绕过用户交互,使用户强制接收外部传入的蓝牙文件。漏洞概要如下: CVE: CVE-2017-0601 BugID: A-35258579 严重性: 中 影响的 Goog...
CVE-2017-13156 Janus 漏洞学习,Android Signature Version 详解
键盘的起始页
07-03 1354
一、CVE-2017-13156 Janus 漏洞学习Janus漏洞“Janus”安卓漏洞漏洞编号:CVE-2017-13156)是Google在2017年12月发布的安卓系统安全公告中披露的一个漏洞。该漏洞可以绕过安卓系统的signature scheme V1签名机制,使攻击者在不改变原来apk签名的情况下,植入恶意代码。漏洞简析漏洞前提1:虚拟机Janus漏洞出现于Android5.0及以...
Android Parcelable反序列化漏洞分析与利用
道阻且长,行则将至。
11-27 3704
本文将分析系统那些实现了Android Parcelable的类,在序列化与反序列化过程中对变量的读写不匹配引发的反序列化漏洞,通过两个CVE漏洞的利用代码,学习该类漏洞的利用手法。
android微信wx-open-launch-app获取参数
最新发布
05-31
要获取微信启动第三方应用时传递的参数,可以通过以下步骤实现: 1. 在 AndroidManifest.xml 文件中注册微信启动第三方应用的 Activity,并在 <intent-filter> 标签下添加相应的参数: ``` <activity android:name=".wxapi.WXEntryActivity" android:exported="true" android:taskAffinity="" android:launchMode="singleTask"> <intent-filter> <action android:name="android.intent.action.VIEW" /> <category android:name="android.intent.category.DEFAULT" /> <category android:name="android.intent.category.BROWSABLE" /> <data android:scheme="wxXXXXX" /> </intent-filter> </activity> ``` 其中,`android:name` 属性值为自定义的 Activity 类名,`android:launchMode` 属性值为 `singleTask`,`android:scheme` 属性值为微信开放平台注册的应用 ID。 2. 在自定义的 Activity 类中,重写 `onNewIntent()` 方法,从 Intent 中获取传递的参数: ``` @Override protected void onNewIntent(Intent intent) { super.onNewIntent(intent); // 获取传递的参数 String data = intent.getDataString(); // 解析参数 // ... } ``` 其中,`intent.getDataString()` 方法返回传递的参数字符串,需要根据具体的参数格式进行解析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值