安卓漏洞 CVE 2017-13287 复现详解 _安卓漏洞

文章插图

2018年4月，Android安全公告公布了CVE-2017-13287漏洞。

与同期披露的其他漏洞一起，同属于框架中Parcelable对象的写入(序列化)与读出(反序列化)的不一致所造成的漏洞。

在刚看到谷歌对于漏洞给出的补丁时一头雾水，

在这里要感谢heeeeen@MS509Team在这个问题上的成果，启发了我的进一步研究。

原理
谷歌在Android中提供了Parcelable作为高效的序列化实现，用来支持IPC调用中多样的对象传递需求。
但是序列化和反序列化的过程依旧依靠程序员编写的代码进行同步。

那么当不同步的时候，漏洞就产生了。

Bundle
传输的时候Parcelable对象按照键值对的形式存储在Bundle内，Bundle内部有一个ArrayMap用hash表进行管理。

反序列化过程如下：

/* package */ void unparcel() {synchronized (this) {final Parcel parcelledData = https://www.isolves.com/it/cxkf/ydd/Android/2020-02-16/mParcelledData;int N = parcelledData.readInt();if (N < 0) {return;}ArrayMap map = mMap;try {parcelledData.readArrayMapInternal(map, N, mClassLoader);} catch (BadParcelableException e) {} finally {mMap = map;parcelledData.recycle();mParcelledData = null;}}}

首先读取一个int指示里面有多少对键值对。

/* package */ void readArrayMapInternal(ArrayMap outVal, int N,ClassLoader loader) {if (DEBUG_ARRAY_MAP) {RuntimeException here =new RuntimeException("here");here.fillInStackTrace();Log.d(TAG, "Reading " + N + " ArrayMap entries", here);}int startPos;while (N > 0) {if (DEBUG_ARRAY_MAP) startPos = dataPosition();String key = readString();Object value = https://www.isolves.com/it/cxkf/ydd/Android/2020-02-16/readValue(loader);outVal.Append(key, value);N--;}outVal.validate();}

之后的每一对先是Key的字符串，然后是对应的Value 。

public final Object readValue(ClassLoader loader) {int type = readInt();switch (type) {case VAL_NULL:return null;case VAL_STRING:return readString();case VAL_INTEGER:return readInt();case VAL_MAP:return readHashMap(loader);case VAL_PARCELABLE:return readParcelable(loader);case VAL_SHORT:return (short) readInt();case VAL_LONG:return readLong();

值内部先是一个int指示值的类型，再存储实际值。
【安卓漏洞 CVE 2017-13287 复现详解】当Bundle被写入Parcel时：

void writeToParcelInner(Parcel parcel, int flags) {final ArrayMap<String, Object> map;synchronized (this) {if (mParcelledData != null) {if (mParcelledData =https://www.isolves.com/it/cxkf/ydd/Android/2020-02-16/= NoImagePreloadHolder.EMPTY_PARCEL) {parcel.writeInt(0);} else {int length = mParcelledData.dataSize();parcel.writeInt(length);parcel.writeInt(BUNDLE_MAGIC);parcel.appendFrom(mParcelledData, 0, length);}return;}map = mMap;}}

先写入Bundle总共的字节数，再写入魔数，之后是指示键值对数的N，还有相应的键值对。

LaunchAnyWhere

弄明白Bundle的内部结构后，先来看看漏洞触发的地方：

文章插图

这个流程是AppA在请求添加一个帐号：

AppA请求添加一个帐号
System_server接受到请求，找到可以提供帐号服务的AppB，并发起请求
AppB返回了一个Bundle给系统，系统把Bundle转发给AppA
AccountManagerResponse在AppA的进程空间中调用startActivity(intent)调起一个Activity 。

在第4步中，如果AppA的权限较高，比如Settings，那么AppA可以调用正常App无法调用的未导出Activity 。

并且在第3步中，AppB提供的Bundle在system_server端被反序列化，之后system_server根据之前得到的内容再序列化并传递给AppA 。

那么如果对应的传递内容的序列化和反序列化代码不一样，就会影响到自己以及之后的内容的结果。

传递的Bundle对象中包含一个重要键值对{KEY_INTENT:intent}，指定了AppA稍后调用的Activity 。

如果这个被指定成Setting中的com.android.settings.password.ChooseLockPassword,就可以在不需要原本锁屏密码的情况下重新设置锁屏密码。

谷歌在这个过程中进行了检查，保证Intent中包含的Activity所属的签名和AppB一致，并且不是未导出的系统Actiivity 。

protected void checkKeyIntent(int authUid, Intent intent) throws SecurityException {long bid = Binder.clearCallingIdentity();try {PackageManager pm = mContext.getPackageManager();ResolveInfo resolveInfo = pm.resolveActivityAsUser(intent, 0, maccounts.userId);ActivityInfo targetActivityInfo = resolveInfo.activityInfo;int targetUid = targetActivityInfo.applicationInfo.uid;if (!isExportedSystemActivity(targetActivityInfo)&& (PackageManager.SIGNATURE_MATCH != pm.checkSignatures(authUid, targetUid))) {String pkgName = targetActivityInfo.packageName;String activityName = targetActivityInfo.name;String tmpl = "KEY_INTENT resolved to an Activity (%s) in a package (%s) that "+ "does not share a signature with the supplying authenticator (%s).";throw new SecurityException(String.format(tmpl, activityName, pkgName, mAccountType));}} finally {Binder.restoreCallingIdentity(bid);}}
上一页
1
2
3
下一页
		  	





























推荐阅读

           
                  
              
                  DNF希洛克攻坚商店奖励|DNF希洛克攻坚商店奖励有哪些？DNF国服希洛克攻坚商店奖励介绍 
                
                   
                
              
            

                  
              
                  科技看点|推荐了599元的手机？，界读丨雷军发微博建议大家对自己好一点 
                
                   
                
              
            

                  
              
                  我的第一部5G手机■出货量下降：失去5G庇佑的手机市场，消费反弹“拐点”在延后 
                
                   
                
              
            

                  
              
                  最让你印象深刻的海边游玩活动是啥 
                
                   
                
              
            

                  
              
                  你覆盖着雪的车上被画过哪些有意思的画／你在覆盖着雪的车上画过哪些有意思的画 
                
                   
                
              
            

                  
              
                  香港@香港警方今拘捕逾360人，暴徒被捕成排“乖乖坐” 
                
                   
                
              
            

                  
              
                   和氏璧|单手能拿起“和氏璧”？马未都：我能证明，电视剧里都是瞎掰！ 
                
                   
                
              
            

                  
              
                  才女说车|特斯拉将在柏林和上海工厂生产特供车，加速本土化 
                
                   
                
              
            

                  
              
                  稚久|B站官方发布关于“锤人”类内容的管理办法 
                
                   
                
              
            

                  
              
                   「下半年」今年疫情下，下半年的粮食价格会上涨吗？看完之后心里就有数了 
                
                   
                
              
            

                  
              
                  选秀|周星驰原创音乐歌曲，上榜音乐平台后，取得上亿次播放 
                
                   
                
              
            

                  
              
                  「六种人」六种人骨骼质量比较差 学会三个动作延缓骨骼变老 
                
                   
                
              
            

                  
              
                  翡翠|旧藏·和田玉籽料下山虎原石雕 
                
                   
                
              
            

                  
              
                  『昕薇官网』出街通勤约会都可安排！，直播预告|超实用日常穿搭 
                
                   
                
              
            

                  
              
                  商南广播电视台@这10道陕西美食，个个经典美味，色香俱全，你吃过几个？ 
                
                   
                
              
            

                  
              
                  向上突破|*ST贵人：控股股东贵人鸟集团（香港） 有限公司累计被冻结4.49亿股 
                
                   
                
              
            

                  
              
                  特朗普|花式自夸！特朗普：上帝夸我经济搞得好 
                
                   
                
              
            

                  
              
                  天秤座|10月上旬，桃花遍地开，真爱相伴，表白迎来爱情的四大星座 
                
                   
                
              
            

                  
              
                  烹饪|美食精选：煎豆腐、黄贡椒炒脆肚、鲫鱼炖豆腐、芙蓉虾的做法 
                
                   
                
              
            

                  
              
                  葡萄牙队|葡萄牙新黄金一代诞生，C罗稳坐钓鱼台，葡萄牙4-1克罗地亚 
                
                   
                
              
            

          

docker 复制漏洞，让渗透更加艺术化 

安卓被曝安全漏洞：允许攻击者通过蓝牙向用户发送恶意软件 

WordPress两个插件存在严重漏洞 或致32万个网站受攻击 

电脑网站破解，提取web漏洞 

大黑客必知必会的xxe攻击漏洞，带你了解黑客的世界 

漏洞初探，手把手带小白进入黑客的世界 

漏洞验证和利用代码编写指南 

一次对客户APP渗透测试服务 深挖漏洞防止攻击的办法 

网站安全漏洞测试对流量嗅探扫描等手法 

Kali Linux实战篇：Windows Server 2012 R2系统漏洞利用过程