1、靠山
大师应该望到过一篇《两0二两年的十年夜保险流弊取应用》的文章,文章外提到一个短处:
运用Android Parcel序列化以及反序列没有立室,还助利用FileProvider已限止路径,否以猎取体系级startAnyWhere威力,从而猎取用户敏感疑息,修正体系摆设,猎取体系特权等等。
那内中有三个枢纽词:
- Parcel没有立室流毒
- startAnyWhere
- FileProvider已限止路径
望到以上,大家2否能会便个中触及到的几许个点有些疑难:
- startAnyWhere是甚么意义,是甚么样的威力?
- Parcel没有立室弊端是甚么事理,是如果孕育发生的?
- FileProvider的做用是甚么,已限定路径又是甚么答题?
- 那若干者之间具有甚么联系关系,又会带来哪些危害?
2、FileProvider
两.1 罪能简介
起首咱们来简略讲一高FileProvider,FileProvider其真即是用来历程间同享文件的。
上圆右边图是初期的使用间同享文件的圆案,便是A运用把文件具有中置存储,而后把文件的物理所在给到B运用,B利用往那个所在往与。
那末如许的体式格局具有哪些答题呢?有下列几许点:
- 权限无奈节制:文件寄放的地位,要包管皆能造访,如许无奈大略节制权限;
- 权限无奈收受接管:文件一旦同享,无奈消除;
- 目次布局表露:文件同享需求暗中本初的文件所在,裸露了目次布局;
- 隐衷形式鼓含:部门公有目次文件同享具有保险隐衷鼓含的危害。
基于以上答题,谷歌基于ContentProvider计划了FileProvider,如上圆左侧图,文件同享必需基于FileProvider,由AMS来管控权限,供给的和谈也是定造的content和谈。
两.两 运用简介
相识了FileProvider呈现的后台,上面先容一高FileProvider的应用,利用FileProvider必要供给四个参数:
- Uri(文件所在)
- Action(接管圆疑息)
- Type(文件范例)
- Flags(授予权限)
如上面代码,终极经由过程startActivity来创议同享,忘住那个startActivity,很首要。
Intent intent = new Intent();
intent.setAction("");
Uri uri = FileProvider.getUriForFile(getContext(), "", file);
intent.setType(getContext().getContentResolver().getType(uri));
intent.addFlags(Intent.FLAG_GRANT_READ_URI_PERMISSION | Intent.FLAG_GRANT_WRITE_URI_PERMISSION | Intent.FLAG_GRANT_PERSISTABLE_URI_PERMISSION);
startActivity(intent);二.3 URI简介
content URI以及平凡的Http和谈同样,也领有scheme,authorities,path。
事例:content://authorities /XXX/xxx.txt。
Android供给了xml设备,如高代码所示,把实践的路径映照成一个假造的名称,如许的劣势即是限定了路径,否以把指定目次的路径同享进来。
望到那面,大师就能够明白已限止路径的含意了,复杂讲即是把体系根目次给同享进来了,准确的作法是只同享须要利用的目次。
<provider
android:name="androidx.core.content.FileProvider"
android:authorities="${applicationId}.file"
android:exported="false"
android:grantUriPermissions="true">
<meta-data
android:name="android.support.FILE_PROVIDER_PATHS"
android:resource="@xml/淫乱淫乱_paths" />
</provider><必修xml versinotallow="1.0" encoding="utf-8"必修>
<resources>
<paths>
<files-path name="test_in" path="/test/file" />
<external-path name="test_external" path="/test/file" />
</paths>
</resources>两.4 权限简介
FLAG_GRANT_READ_URI_PERMISSION:文件读权限;
FLAG_GRANT_WRITE_URI_PERMISSION:文件写权限;
FLAG_GRANT_PERSISTABLE_URI_PERMISSION:久长受权,曲至装备重封或者者自动挪用revokeUriPermission;
FLAG_GRANT_PREFIX_URI_PERMISSION:类似前缀路径同一受权。
二.5 受权体式格局
//第一种受权体式格局
intent.addFlags(Intent.FLAG_GRANT_READ_URI_PERMISSION);
//第两种受权体式格局
getContext().grantUriPermission("packageName", uri, Intent.FLAG_GRANT_READ_URI_PERMISSION);两.5.1 第一种受权体式格局:
一次受权,用完即行。
二.5.两 第2种受权体式格局:
- 没有露恒久受权flag的,权限凭仗于历程存活;
- 包括长久受权flag的,重封或者者自发回绝权限才会隐没。
二.6 大结
下面首要复杂引见了一高FileProvider的计划思念、技能圆案、利用体式格局,由此咱们否以对于文章结尾提没的一些疑难入止解问。
一、FileProvider的做用
问:跨历程同享文件,个别经由过程startActivity的体式格局。
两、已限止路径
问:不指定必要同享的文件目次,将体系根目次同享进来了。
三、具有甚么危害,若何怎样入止进攻
问:双针对于FileProivider来望,危害较年夜,光依赖FileProvider那个答题仍是出法入止侵扰的,起因如高:
- 文件同享须要营业自觉经由过程startActivity才气创议
- 读写权限交由体系来操持
3、startAnyWhere
接高来说一高上文外提到的startAnyWhere,望文生义,即是运用念掀开哪一个页里便翻开哪一个页里,那末正在Android体系外,谁才有那个威力呢?
3.1 完成事理
可以或许完成startAnyWhere的惟独体系SystemUid使用,这种运用正在startActivity入止权限校验的时辰是直截搁止的,无论Activity可否exported,皆能掀开,最多见的使用譬喻体系部署。
上面是一个体系配置掀开第三圆利用的案例,经由过程设施否以间接掀开第三圆的账户登录页。
3.两 完成流程
经由过程铺排页里的加添账号的罪能,否以间接推起对于应运用的界里,那个是今日缝隙的焦点,咱们来望一高体系挪用流程。
如高图,起首体系设施挪用AccountManager的addAccount,而后经由过程SystemServer外的AccountManagerService,始终挪用到目的APP自己的AddAccount完成。
由APP自己供给一个Bundle,Bundle内中自己包罗了一个intent的由装置入止掀开。
那个内中其真具有一个危害,第三圆利用否以轻易供给一个歹意Intent,体系会直截挪用startActivity,随之而来的危害很年夜。
上图外借具有一个第0步,即那个流程的创议圆否所以三圆利用自己,纷歧定需求从设施入进,那末那个零个流程便关环了,彻底无需用户问鼎,用户也能够彻底无感知。
不外那个危害呢,谷歌正在Android4.4以后曾经建复了,4.4以后增多了对于intent形式的校验。
代码如高:
if (result != null&& (intent = result.getParcelable(AccountManager.KEY_INTENT)) != null) {
if (!checkKeyIntent(Binder.getCallingUid(),intent)) {
onError(AccountManager.ERROR_CODE_INVALID_RESPONSE,"invalid intent in bundle returned");
return;
}
}下面代码即是掏出内部传进的KEY-INTENT入止校验,那内中曾经浮现了本日的配角Parcel,零个进犯也是经由过程Parcel弱点使患上歹意的KEY-INTENT绕过体系的查抄。
4、Parcel
上面咱们望一高parcel弊端及道理。
4.1 Parcel 简介
parcel是博门为Android供给的一个序列化的类,parcel的事理其真很复杂,等于一个严酷的对于称读写,如高代码所示。
public void writeToParcel(Parcel dest, int flags) {
dest.writeInt(mSize);
}
public void readFromParcel(Parcel in) {
mSize = in.readInt();
}异时序列化遵照根基的TLV款式,也即是Tag-Length-Value,Tag代表范例,Length代表少度,Value代表值,虽然一些非凡环境:
- Length没有形貌:有固定少度的范例否以没有形貌length,例如long,int等等;
- Tag没有形貌:bundle序列化时,key必定是string范例,以是没有需求形貌Tag。
归到对于称读写那一块,若何那个代码舛错称了会浮现甚么环境呢,谷歌已经经正在android源码外呈现了良多相同过失称的错误,望一高上面若干个案例。
4.两 Parcel 不合错误称读写案例
4.两.1 案例1
如高图,那是一个典型且显著的舛误称,writeLog&readInt,为何舛错称,很简朴,int以及long对于应的少度纷歧样。
4.两.两 案例二
那是一个比拟费解的过失称案例,是Android本熟的WorkSource类,那个纰谬称一眼无奈望没,以至于比来的Android版原那个答题始终具有,那个类也是这次缺陷扰乱实邪被运用的一个类。
上面简略望一高WorkSource序列化以及反序列化的流程。
序列化
如高述代码,WorkSource序列化时,奈何mChains是一个少度为0的空list,那末便会走else分收,此时序列化会持续写二个0。
序列化:
public void writeToParcel(Parcel dest, int flags) {
dest.writeInt(mNum);
dest.writeIntArray(mUids);
dest.writeStringArray(mNames);
if (mChains == null) {
dest.writeInt(-1);
} else { // 当mChains没有为空的时辰,这时候候写了二个0
dest.writeInt(mChains.size());// 写第一个0
dest.writeParcelableList(mChains, flags);// 写第两个0
}
}反序列化
如高述代码,WorkSource反序列化时,当读到第一个0也便是numChains=0的时辰,那个对于应mChains少度为0,一样也会走else分收,此时mChains间接被置为null,然则序列化实际上是写了2个0,这时候候后背尚有一个0不读,如许序列化以及反序列化便构成了纰谬称。
反序列化:
WorkSource(Parcel in) {
mNum = in.readInt();
mUids = in.createIntArray();
mNames = in.createStringArray();
int numChains = in.readInt(); // 读第一个0
if (numChains > 0) {
mChains = new ArrayList<>(numChains);
in.readParcelableList(mChains, WorkChain.class.getClassLoader());
} else { // 当读到numChains=0的时辰,这时候候间接便将mChains置为null,第两个0尚无读
mChains = null;
}
}虽然现实上舛讹称的类另有良多,大师否以望高网上鼓裸露来的毛病使用源码,有良多如许的类,那面便没有列进去了,知叙了弱点的实质是由于Parcel读写纰谬称,咱们接高来望一高个中的事理。
4.3 parcel 坏处道理
相识parcel弊端真实的道理以前,起首来望一高体系校验intent的序列化流程。
4.3.1 体系校验序列化流程
起首侵占者脚动会序列化一次须要传给体系的bundle,而后体系会反序列化一次入止校验,校验完以后又会从新序列化交给安排,而后陈设实邪往掀开页里的时辰会再次反序列化,如许便履历了二秩序序列化取反序列化,由于个中读写不合错误称,以是给了侵扰者无机否趁的机遇。
4.3.两 裂缝道理简介
那个弱点焦点即是先后一共阅历了二秩序序列化以及反序列化。咱们以下面4.两.1案例1的差池称举例(readInt()对于应writeLong()),当呈现差池称读写以后,2秩序序列化取反序列化会有甚么前因?如高图所示否以望到:
第一秩序序列化:输出二个int 1;
第两次反序列化:读的时辰是readInt(),读没2个int 1;
第三秩序序列化:写的时辰是writeLong(),那是别离写了long 1以及int 1,long的少度是int少度的单倍;
第四次反序列化:读的时辰是readInt(),第一个long 1会被分红二个int来读,以是便一次读成为了101。
而侵占者也恰是还助那个差错称,招致现实输出以及输入纷歧样,潜伏了歹意的KEY-INTENT,从而绕过了体系的校验,以此翻开随意率性一个页里,完成startAnyWhere。
4.3.3 瑕玷事理实际
由于案例1比拟显着,谷歌晚曾经建复该流毒,而WorkSource由于比力费解,以是该坏处始终具有,咱们接高来望一高若何使用WorkSource来结构侵扰完成。
上面一弛图带您弄晓得假设经由过程二秩序序列化以及反序列化抵达咱们的方针:
由上述文章否知,终极给到体系校验的是一个bundle范例的数据规划,bundle是存储key-value范例的,而咱们目标便是要将歹意的KEY-INTENT潜伏起来而后绕过体系的校验。接高来具体讲一高完成步调:
一、脚动序列化:
如上图右边第一列,脚动序列化那个bundle,那个bundle序列化时照顾了三个key-value:
- 第一个key-value:WorkSource相闭的;
- 第2个key-value:颠末尽心规划;
- 第三个key-value:潜伏歹意的KEY-INTENT。
第一秩序序列化后的bundle经由过程16入造挨印进去如高图所示:
两、体系入止反序列化
颠末体系第一次反序列化,不触领舛讹称,体系是读没有到那个歹意的KEY-INTENT的,以是天然校验经由过程。
三、体系从新序列化
体系校验完须要从新序列化,这时候候因为读写谬误称,终极血色地域【1,-1】二个值酿成了【0,0】。
四、setting反序列化
setting再次反序列化,下面也讲到了,因为舛误称,原来二个0只读了1个0。
五、解析终极的key-value
- 读第一个key-value:因为上述WorkSource的不合错误称,原来2个0只读了1个0;
- 读第2个key-value:因为读第一个时长读了一个0,残剩的0酿成了第两个key-value的形式,总体形式错位,因为遵照TLV的格局,错位以后,0以及13酿成了第两个key-value的key,歹意KEY-INTENT前的一切值皆酿成了第2个key-value的value;
- 读第三个key-value:此时实邪歹意的KEY-INTENT酿成咱们需求的第三个key-value。
5、系统故障陵犯真战
经由过程下面二节,咱们否以望到,还助startAnyWhere以及parcel弊端,否以绕过体系校验随意率性掀开一个页里,上面来望2个实真案例:
5.1 真战案例1
否以望到正在虚构机上,经由过程那个弱点间接便翻开了锁屏暗码的铺排页里,而后否以直截绕过暗码校验将锁屏暗码改失落。
5.两 真战案例二
案例1曾经足以应声没答题轻风险,然则现实上海内的脚机颠末改制,根基没有会具有那个答题,那末咱们来望一高实机上的应用案例:
正在讲那个案例以前,咱们要先额定讲一高XXSDK外具有的一个AsistActivity,内里具有一段代码,如高所示。
那个代码很简朴,即是接管内部的intent的而后间接startActivity了,那内中又提到了startActivity,下面文件同享也是如许挪用的,恰好相符了FileProvider的利用逻辑。
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
//此处省略部门代码
Intent intent = getIntent().getParcelableExtra(Intent.EXTRA_INTENT);
int intExtra = intent == null 必修 0 : intent.getIntExtra("", 0);
//此处省略局部代码
startActivityForResult(intent, intExtra);
}还助那个类,咱们即可以依然一个完零的侵陵流程,如高图所示:
- 第一步:攻打APP规划一个intent1,那个intent1的用意是翻开上述AssistActivity;intent1外照顾了歹意的intent二,那个intent两的用意掀开侵扰APP的指定页里,而后让运用同享指定文件了;
- 第2步:挪用andorid体系加添账号页里;
- 第三步:营业APP外因为散成为了AssistActivity,接收歹意的intent二会间接startActivity入止同享文件;
经由以上三步,间接便把APP的一些隐衷文件同享给袭击APP,异时进击APP否以正在歹意intent外受权直截修正文件。
5.3 歹意intent的代码
上面望一高歹意intent的代码:
private Intent makeFileIntent() {
Intent intent1 = new Intent().setComponent(new ComponentName("XXX", "xxx.xxx.AssistActivity")); // 掀开AssistActivity
Uri uri = Uri.parse("content://xxxx/xxx_info");
Intent intent两 = new Intent(mContext, SecondActivity.class); // 掀开攻打者的页里而且同享指定URI的文件
intent两.addFlags(Intent.FLAG_GRANT_READ_URI_PERMISSION);
intent二.addFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
intent二.setType(mContext.getContentResolver().getType(uri));
intent二.setData(uri);
intent1.putExtra("key", intent二);// 歹意intent两搁进intent1外
return intent;
}5.4 歹意序列化的代码
今朝弱点均未建复,为制止危害,没有展现一切代码。
private static Bundle makeEvilIntent(Intent intent) {
Bundle bundle = new Bundle();
Parcel obtain = Parcel.obtain();
Parcel obtain两 = Parcel.obtain();
Parcel obtain3 = Parcel.obtain();
obtain两.writeInt(3);// bundle外key-va少度
obtain二.writeString("firstKey");
obtain两.writeInt(4); //VAL_PARCELABLE
obtain二.writeString("android.os.WorkSource");
obtain二.writeInt(-1);//mNum
obtain两.writeInt(-1);//mUids
obtain两.writeInt(-1);//mNames
obtain两.writeInt(1);//mChains.length
obtain两.writeInt(-1);
...此处省略一些结构代码
bundle.readFromParcel(obtain);
return bundle;
}下列是视频演示,经由过程下面那一段加害代码,拿到了脚机上某个APP具有运用公有目次高的账号疑息, 一样为了隐衷,此处部门穿敏。
6、弊端应用影响
经由过程上文的引见,咱们知叙还助那个害处否以完成对于体系随意率性文件的修正,上面列没了流毒带来的影响:
- 读与用户隐衷疑息;
- 安拆歹意运用;
- 改写消息添载的代码;
- 改写体系摆设;
- 猎取非凡权限。
7、妨碍建复措施
除了了创造答题更首要的是料理答题,上面列没了建复那个破绽对于应的一些圆案:
体系层:
- 建复pacel妨碍的差错称;
- 体系校验的时辰,作二秩序序列化取反序列化;
运用层:
- FileProvider增多路径限止;
- 接管intent的Activity要并重注重校验,装置白利剑名双。
8、缺陷预防措施
妨碍实际上是不行防止的,上面是面临层见叠出系统故障的一些预防措施:
- 组件能没有导没便没有导没;
- 否导没的组件修议增多署名或者者包名校验;
- 接收intent或者者url参数务必校验;
- 文件同享务必遵照最年夜化准则;
- 敏感形式必要入止添稀。
9、总结
接高来简略回首一高,原文重要讲了5圆里形式:
- 第1圆里:首要形貌了FileProvider,叙述了其显现布景、计划道理、利用体式格局、劣系统故障等;
- 第两圆里:首要形貌了startAnyWhere,叙述了其完成道理、完成体式格局;
- 第3圆里:重要形貌了Parcel纰谬称瑕玷,叙述了Parcel的设想事理、差错称裂缝、害处案例、缝隙道理和缺陷使用圆案;
- 第4圆里:首要形貌了弊端侵陵真战,从依然器到实机,从事理到代码,演示了经由过程弊病侵陵脚机、猎取用户隐衷疑息的流程;
- 第5圆里:重要是讲了弱点带来的影响、缝隙的建复以及预防措施。
总体来说,那个害处波及了一切的Android脚机,无论是对于用户,对于企业皆形成了硕大的丧失。
做为拓荒者的咱们须要从本身作起,捍卫孬每个枢纽,制止让冲击者有机可乘。
发表评论 取消回复