PendingIntent重定向:一种针对安卓系统和流行App的通用提权方法——BlackHat EU 2021议题详解 (下)

在这里插入图片描述
以用户隐私安全为中心,用责任兑付信任,OPPO成立子午互联网安全实验室(ZIWU Cyber Security Lab)。实验室以“保护用户的安全与隐私,为品牌注入安全基因”为使命,持续关注并发力于业务安全、红蓝对抗、IoT安全、Android安全、数据和隐私保护等领域。

本篇文章源自OPPO子午互联网安全实验室。

1 不安全PendingIntent的通用利用方法

1.1 不安全PendingIntent的特征

至此,我们已经解决了本议题的第一个问题,经过研究表明,Android系统中使用的PendingIntent大都 可以被三方App获取。

获取方式包括bind SliceProvider、监听通知、连接媒体浏览器服务或者bind容纳 窗口小部件的AppWidgetsProvider。

于是,引入议题研究的第二个关键问题:如果这些PendigIntent不安全,如何利用才能造成安全危害?

首先,我们需要辨别什么样的PendingIntent是不安全的。前面描述的公开漏洞案例,均为劫持base Intent为空Intent的广播PendingIntent,说明如下empty base Intent构建的PendingIntent确定存在安全问题。

在这里插入图片描述

Android 12之前的开发者文档也对base Intent为隐式Intent的PendingIntent提出了安全警告,但却没 有明确告知到底存在何种危害。而且在AOSP代码和流行App当中,如下的代码模式广泛存在。这不禁让 我们思索, Implicit base Intent构建的PendingIntent是否真正存在问题?唯有找到一种确定的针对这 种PendingIntent的漏洞利用方法,才能真正证明安全问题的存在。

在这里插入图片描述

1.2 深入Intent fillIn改写机制

寻找利用方法之前,需要深入探索PendingIntent的改写机制,这决定了其他App获得PendingIntent以 后,如何对base Intent进行改写。这个机制由 Intent.fillIn 函数提供:

在这里插入图片描述在这里插入图片描述

在上述代码中,this对象指向当前Intent,other为其他Intent。如果当前Intent中的成员变量为空,则可 以被other中相应的成员变量覆盖。比较特殊的是Intent中的component和selector成员,即使当前Intent中的component和selector为空,也不能被other所改写,除非PendingIntent
设置了FILL_IN_COMPONENT
或者FILL_IN_SELECTOR标志。

1.3 PendingIntent重定向攻击

因此在获取PendingIntent之后,其base Intent的action、category、data、clidpdata、package、flag、extra等成员都是有可能改写的,而component和selector无法改写,如图所示。特别地,对于base Intent为隐式Intent的这种情况,action已经被设置了,因此也无法被改写,攻击者无法如前面安 卓系统broadcastAnyWhere漏洞那样,通过劫持PendingIntent、在base Intent中重新添加action,隐式打开一个受保护的组件。

在这里插入图片描述

阅读终点,创作起航,您可以撰写心得或摘录文章要点写篇博文。去创作
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
好的,以下是一个Android 11定时启动APP的示例代码: ```java import android.app.AlarmManager; import android.app.PendingIntent; import android.content.Context; import android.content.Intent; public class MainActivity extends AppCompatActivity { @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); // 设置定时任务的触发时间为当前时间的5秒后 long triggerTime = System.currentTimeMillis() + 5000; // 创建Intent,指定要启动的APP组件 Intent intent = new Intent(this, YourAppMainActivity.class); PendingIntent pendingIntent = PendingIntent.getActivity(this, 0, intent, 0); // 获取AlarmManager实例 AlarmManager alarmManager = (AlarmManager) getSystemService(Context.ALARM_SERVICE); // 设置定时任务 alarmManager.setExact(AlarmManager.RTC_WAKEUP, triggerTime, pendingIntent); } } ``` 上述代码中,我们首先获取了当前时间,并在此基础上计算了触发时间。然后创建一个Intent,用于指定要启动的APP组件,这里假设是YourAppMainActivity。接下来创建一个PendingIntent,用于在定时任务触发时启动指定的APP组件。最后获取AlarmManager实例,并使用setExact()方法设置定时任务,这里指定了定时任务的触发时间和要执行的PendingIntent。 需要注意的是,如果要使用AlarmManager进行定时任务,需要在AndroidManifest.xml文件中添加如下权限: ```xml <uses-permission android:name="android.permission.SET_ALARM" /> ``` 同时,需要在APP启动时获取相应的权限: ```java if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.M) { Intent intent = new Intent(Settings.ACTION_REQUEST_IGNORE_BATTERY_OPTIMIZATIONS); intent.setData(Uri.parse("package:" + getPackageName())); startActivity(intent); } ``` 此处获取的是忽略电池优化的权限,是因为在Android 6.0及以上版本中,系统会限制APP在后台的运行,为了保证定时任务能够正常执行,需要获取该权限。 希望这个示例代码对你有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安第斯智能云

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值