外部动态加载Dex安全风险浅析.pdfVIP

外部动态加载 DEX 安全风险浅析 1.风险述 Android 系统供了一种类加载器 DexClassLoader，其可以在运行时动态加载并解释执行包含在 JAR 或 APK 文件内的 DEX 文件。外部动态加载 DEX文件的安全风险源于：Anroid4.1 之前的系统版本容许 Android 应用 将动态加载的 DEX文件存储在 sdcard 中，而 sdcard 对于所有应用程序来说是共享的而不是属于应用私有的，可被任意 应用读写，不能够保护应用免遭恶意代码的注入；所加载的 DEX 易被恶意应用所替换或者代码注入，如果没有对外部所加 载的 DEX文件做完整性校验，应用将会被恶意代码注入，从而执行的是恶意代码； 如果应用没有正确的使用动态加载 DEX 文件，将会导致攻击者的任意代码被自动执行，进一步实施欺诈、获取账号密 码或其他恶意行为等危害，如在乌云漏洞平台上的类似漏洞：QQ 游戏 Android 客户端漏洞导致任意代码执行和密码泄漏 [1] 。 2. 影响范 围 Android 4.1 之前系统 3.风险详情 1) 风险位置 : public DexClassLoader (String dexPath, String optimizedDirectory, String libraryPath, ClassLoader parent) [2] 2) 风险触发前条件： 动态加载的 DEX文件存储在 sdcard 中； 没有对外部所加载的 DEX文件做完整性校验； 3) 风险原理： sdcard 对于所有应用程序来说是共享的，可被任意应用读写，如果没有对外部所加载的 DEX文件做完整性校验，应用 将会被恶意代码注入，从而执行的是恶意代码； 4. 风险证明 1) 利用DexClassLoader （）运行时加载JAR/DEX文件，该将恶意代码替换掉被加载的DEX文件，或向该被加载的DEX 文件注入恶意代码。 被替换的所加载的 JAR/DEX class 的恶意代码如下： 动态加载 JAR/DEX 的调用代码 ： Android 4.1 之前系统版本，结果显示成功动态加载 JAR/DEX 如下图所示 Android 4.1 之后系统版本，结果抛出异常“Optimized data directory /mnt/sdcard is not owned by the current user. Shared storage cannot protect your application from code injection attacks.” 由于 4.1 之后 Android 版本增加了对 JAR/DEX 存放目录文件的 user_id 和动态加载 JAR/DEX 的进程的 user_id 是否一致的判断，如果不一致将抛出异常导致加载失败,如下