移动APP第SDK漏洞挖掘实战&360VulpeckerTeam安全研究员关于我们360VULPECKERTEAM•:360移动安全研究员@___sniperhg•:360移动安全研究员@椰子_7C00360威派克团队(VulpeckerTeam)专注在及应用安全攻防领域,负责360集团内部移动APP和OS类安全攻防,研发了自动化安卓应用安全审计系统-360显危镜,为国内主流应用市场提供在线安全检测服务。截止2018年,团队累计获得近百个CVE编号和谷歌、三星、等官方致谢,并多次在国内外知名安全会议上研究成果。目录•关于我们•第SDK安全现状•漏洞挖掘实战•一些思考第SDK安全现状第SDK安全现状*目录•关于我们•第SDK安全现状•漏洞挖掘实战•一些思考ANDROID安全基础知识1.应用沙盒•基于Linux的权限机制•应用安装后分配UID和GID•使用UID来限制对文件的,理论上应用无法其他应用的私有文件*•使用GID来限制对资源的,应用申请权限后,其UID被添加到权限对应的用户组中•权限与GID:/data/etc/platform.xml•安装时/运行时申请所需权限,/用户进行**ANDROID安全基础知识2.INTENT•Android中常见IPC形式•属于一种IPC消息对象,用于APP组件间通讯•同进程/跨进程•startActivity()/startService()/bindService()/sendBroadcast()•使用Action或ComponetName等指定目标组件•可以携带额外数据(Extras)ANDROID安全基础知识3.组件安全•AndroidAPP的基本组成部分-Activity-BroadcastReceiverActivityReceiver-ContentProvider-Service•AndroidManifest.xml文件中•组件可为对外导出/应用私有•可使用权限对其保护ProviderServiceANDROID安全基础知识3.组件安全•导出组件•导出的组件可被任意应用•android:exported=true•BroadcastManger.registerReceiver()•带有
的组件,未设置android:export=false情况下,默认导出•私有组件•私有组件多包含应用敏感功能,并且对输入数据校验较少•越权其他应用私有组件(应用沙盒逃逸)•严重安全隐患第SDK漏洞挖掘的风险•以jar包/so库形式集成到应用中,封装了丰富的功能ActivityReceiver•对开发者而言,属于黑盒,无法审计其安全性•使用广泛,SDK中漏洞影响范围同样广泛+SDK中提供+SDK中提供•在应用中集成SDK提供的组件、添加特定权限等ActivityReceiver•SDK安全性无法保证•应用被引入面ProviderService+SDK中提供+SDK中提供ProviderService第SDK漏洞挖掘的风险•利用SDK中的漏洞,应用甚至无需任何权限…•绕过沙盒限制,应用私有组件•推送通知消息•诱导•获取验证码•用户隐私数据•任意代码执行•…PUSHSDK推送SDK-A-官方文档中引导开发者添加一个导出的Receiver-导出的Receiver具体功能由开发者实现-“指导”开发者留下PUSHSDK推送SDK-A-某市地铁官方APP-集成推送SDK-A-导出ReceiverxxCustomerReceiver-xxCustomerReceiver中Intent传入数据,app内打开指定url-POCPUSHSDK推送SDK-A-某市地铁官方APP-页面PUSHSDK推送SDK-B-指导用户添加导出的Receiver-导出的Receiver继承自com..android.xxBaseReceiverPUSHSDK推送SDK-B-com.xx.android.xx.BaseReceiver中处理push消息-下发的消息经RSA加密,App本地进行,后展示给用户-….-SDK中一个加密,者可调用该加密,对的消息进行加密PUSHSDK推送SDK-BPUSHSDK推送SDK-B-XX管家-集成了推送SDK-B,添加了导出的Receiver-者通过调用SDK中的加密,构造推送消息-利用导出的Receiver弹出通知-POCPUSHSDK影响范围类SDKSDK-A-SDK中导出的Activity,XxSharexActivity-将输入字符串作为组件名称,校验直接启动指定的组件-应用可绕过应用沙箱限制,越权任意私有Activity类SDKSDK-A-XxSharexActivity中接收Intent传入字符串-校验情况下,将传入字符串作为ActivityName进行保存-在当前应用Context中调用startActivity启动ActivityName指定Activity类SDK利用1–通用拒绝服务-Activity启动时需要传递参数/进行一些初始化操作/….-利用SDK漏洞强制调用未导出Activity-异常处理不当,触发应用-编写测试工具,对大量应用进行批量测试-集成了该SDK的应用中,90%+该问题类SDK利用1–通用拒绝服务类SDK利用1–通用拒绝服务-集成了该SDK的应用中,90%+该问题-国内大量知名厂商应用,均受此漏洞影响类SDK利用2–应用锁绕过-应用中保存了用户隐私数据,进入应用时需要输入正确-常见于金融类、IM类应用中-利用该SDK漏洞,越权包含重置、设置等敏感功能组件-应用中高权限组件鉴权不严格,导致锁被绕过/重置等-测试发现,许多知名厂商的app均该问题,例如…类SDK利用2–应用锁绕过类SDK利用3-越权开启调试模式-为便于线上定位bug,许多应用release版中调试代码-应用Log开关、自定义线上服务器地址、导出用户数据等敏感功能…-调试功能在UI上没有直观,普通用户无法轻易接触到-如调试模块涉及敏感操作,本质上如同一个后门-利用该SDK漏洞,遍历应用导出组件,发现隐藏的调试功能类SDK利用3-越权开启调试模式-某企业级IM应用中,发现多个包含调试功能的未导出组件-逆向分析确定,UI上隐藏的进入调试-但通过UI启动调试组件,需要输入:(-鉴权不严格,利用该SDK漏洞,绕过保护,越权开启调试功能类SDK以及…-普通用户登录-利用SDK漏洞打开管理员权限功能-服务端对用户校验不严格-部分管理员功能可被越权调用类SDK影响范围类SDK修复状态目录•关于我们•第SDK安全现状•漏洞挖掘实战•一些思考一些思考开发者方面-培养安全意识-接入SDK前,评估其安全性-及时关注SDK版本更新-应用发布前,寻找专业安全团队进行安全性测试-….供应商方面-提升发现安全问题的能力-对待安全问题态度,积极修复or“我们已知,但是…”-….!
浙公网安备 33021202002483