安卓预装APP被曝高危漏洞,影响数百万用户

admin 2022年5月31日14:43:40安全新闻评论29 views1614字阅读5分22秒阅读模式

安卓预装APP被曝高危漏洞,影响数百万用户

微软发现安卓系统中预装APP中的多个安全漏洞,下载量超百万。

微软在mce系统移动框架中发现多个高危安全漏洞,漏洞CVE编号分别为CVE-2021-42598、CVE-2021-42599、CVE-2021-42600和CVE-2021-42601,CVSS评分在7到8.9分之间。该框架被多个移动服务提供商用于预装的安卓系统APP中,攻击者利用这些漏洞可以实现本地或远程攻击。

安卓预装APP被曝高危漏洞,影响数百万用户 CVE-2021-42599:命令注入漏洞

研究人员在device服务中发现了一个命令注入漏洞,漏洞CVE编号为CVE-2021-42599。Device服务具有停止给定包活动的能力。客户端完全控制了value参数,简单运行一下命令:

am force-stop "value"

因为该参数没有正则化,攻击者可以添加backticks或quotation marks来运行任意代码,如:

am force-stop "a"; command-to-run; echo "a"

安卓预装APP被曝高危漏洞,影响数百万用户

图1 Device服务中实现命令注入的PoC代码

Mce公司已经移除了有漏洞的代码,有漏洞的代码已经不存在于新版本的框架中。

安卓预装APP被曝高危漏洞,影响数百万用户 特定APP PiTM JS注入漏洞利用

Mac框架提供的访问表明漏洞存在于APP JS客户端逻辑中,APP可配置为明文通信。但客户端的代码是混淆的动态JS代码,主要是bundle.js。由于JS客户端与JarvisJSInterface服务器的信任,可以成功注入JS内容到WebView的攻击者可以继承APP已有的权限。

注入策略:

  • 向BROWSABLE Intent中提供指定GET参数来影响JS客户端行为;

  • 用BROWSABLE Intent来触发APP成为中间人,查看设备的全部流量。如果客户端尝试提取外部内容来注入JS内容并翻译为脚本或HTML。

研究人员逆向客户端混淆后的代码,发现不能从GET参数注入JS。唯一可做的是影响客户端的自测试,比如电池耗尽测试或WiFi连接测试。

PoC执行步骤如下:

  • 对目标设备执行中间人攻击,诱使用户点击“mcesystems://”中的链接;

  • 注入JS到以下明文页面响应:

   通过callback方法调用init来劫持JS接口;

   使用JS接口请求方法来获得服务;

   使用XHR发送数据给服务器来进行信息收集。

安卓预装APP被曝高危漏洞,影响数百万用户

图2 注入JS代码到WebView,允许攻击者调用任意服务和方法

安卓预装APP被曝高危漏洞,影响数百万用户 CVE-2021-42601:反序列化本地权限提升

研究人员在框架中还发现了一个本地权限提升漏洞——CVE-2021-42601,允许恶意APP获得系统APP的权限。

研究人员发现在以上APP中,main Activity尝试处理一个Google Firebase的链接(点击后会启动APP而非浏览器)。该链接的处理会尝试用密钥com.google.firebase.dynamiclinks.DYNAMIC_LINK_DATA反序列化来自Intent Extra字节数组的结构PendingDynamicLinkData。之后,mce框架会使用该框架来生成不同的JSON对象,其中可能包含原始链接中categoryId查询参数的数据,最终mFlowSDKInput会以一种不安全的方式注入到JarvisWebView实例中:

安卓预装APP被曝高危漏洞,影响数百万用户

图3 未处理的JS加载允许任意代码注入到WebView

因为categoryId查询参数可能包含多个符号,一个可以注入任意JS代码到webview中。研究人员决定注入代码来服务器并加载第二阶段代码。

安卓预装APP被曝高危漏洞,影响数百万用户

图4 本地注入PoC漏洞利用

参考及来源:https://www.microsoft.com/security/blog/2022/05/27/android-apps-with-millions-of-downloads-exposed-to-high-severity-vulnerabilities/

安卓预装APP被曝高危漏洞,影响数百万用户

安卓预装APP被曝高危漏洞,影响数百万用户

原文始发于微信公众号(嘶吼专业版):安卓预装APP被曝高危漏洞,影响数百万用户

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月31日14:43:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  安卓预装APP被曝高危漏洞,影响数百万用户 http://cn-sec.com/archives/1071796.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: