细数安卓 APP 那些远程攻击漏洞.pdf

细数安卓APP那些远程攻击漏洞 z7sky 行之 @360VulpeckerTeam 演讲者简介 z7sky 行之 360VulpeckerTeam成员 研究方向：Android 系统安全和第三方APP 安全 weibo : @0xr0ot @z7sky 概览 Mobile Pwn2Own 2013 Mobile Pwn2Own 2013上安全研究人员Pinkie Pie 利用chrome 的两个0day漏洞，实现了远 程代码执行攻击，通过远程的web页面控制了系统。 随后,2014年日本安全研究人员Takeshi Terada 公布了Pwn2own 大赛exploit 中intent协议漏 洞的利用方法。 协议漏洞 影响面最大的远程攻击入口 意图协议和第三方协议 Intent协议漏洞 Intent Scheme Url Chrome v18及更早版本,可以通过为iframe 的src属性设置自定义的scheme 实现从Web页面启动一个本地应用。其他android浏览器也支持。Chrome v25及 其之后，稍微有了些变化。取而代之的是通过自定义的scheme或者”intent:”来 实现。 如果浏览器支持intent scheme url ，一般 会分三个步骤处理： 1.使用Intent.parseUri(uri);解析url生成 intent对象。 2.对intent对象进行过滤，不同的浏览器过 滤规则有差异。 3.通过Context#startActivityIfNeeded()或 Context#startActivity()等传递步骤2 中经过 过滤后的intent来启动activity 。 语法示例 data extra intent:mydata#Intent;action=com.me.om;S.url=file:///mnt/sdcard/Down load/xss.html;SEL;component=com.ex.uritest/com.ex.uritest.MainActiv ity;end selector intent 设置了selector intent 的activity 另外可以为其设置备用页面，当intent无法被解析或者外部应用不能被启 动时，用户会被重定向到指定页面。 S.browser_fallback_url=[encoded_full_url] BROWSABLE Category 在继续介绍前先了解两个概念。 1. ent.category.BROWSABLE 这个属性配置在AndroidManifest.xml文件中，如果应用组件支持这 个category，表明这个组件通过浏览器打开是安全的，不会对应用自身 产生危害。所以当自己的应用组件比较脆弱或者存在重要业务逻辑时， 一般建议禁止使用这个属性。 Selector Intent 2. Selector Intent Android API level 15(Android 4.0.3) 引进了Selector intent机制，这个selector intent可以被绑定到一个main intent上，如果这个main intent拥有selector intent,那么 Android Framework会解析selector intent 。 intent://appscan#Intent;S.url=file:///mnt/sdcard/Download/xss.html;SEL;component=com. ex.uritest/com.ex.uritest.MainActivity;end SEL表明为com.ex.uritest.MainActivity设置了一个selector intent,那么android framework会解析这个selector intent，即