微軟發(fā)現(xiàn)安卓系統(tǒng)中預(yù)裝APP中的多個(gè)安全漏洞,下載量超百萬��。
微軟在mce系統(tǒng)移動(dòng)框架中發(fā)現(xiàn)多個(gè)高危安全漏洞�����,漏洞CVE編號(hào)分別為CVE-2021-42598��、CVE-2021-42599�����、CVE-2021-42600和CVE-2021-42601�,CVSS評(píng)分在7到8.9分之間。該框架被多個(gè)移動(dòng)服務(wù)提供商用于預(yù)裝的安卓系統(tǒng)APP中��,攻擊者利用這些漏洞可以實(shí)現(xiàn)本地或遠(yuǎn)程攻擊����。
CVE-2021-42599:命令注入漏洞
研究人員在device服務(wù)中發(fā)現(xiàn)了一個(gè)命令注入漏洞,漏洞CVE編號(hào)為CVE-2021-42599��。Device服務(wù)具有停止給定包活動(dòng)的能力����??蛻舳送耆刂屏藇alue參數(shù)����,簡(jiǎn)單運(yùn)行一下命令:
am force-stop "value"
因?yàn)樵搮?shù)沒有正則化,攻擊者可以添加backticks或quotation marks來運(yùn)行任意代碼�����,如:
am force-stop "a"; command-to-run; echo "a"
圖1 Device服務(wù)中實(shí)現(xiàn)命令注入的PoC代碼
Mce公司已經(jīng)移除了有漏洞的代碼�,有漏洞的代碼已經(jīng)不存在于新版本的框架中。
特定APP PiTM JS注入漏洞利用
Mac框架提供的訪問表明漏洞存在于APP JS客戶端邏輯中�,APP可配置為明文通信。但客戶端的代碼是混淆的動(dòng)態(tài)JS代碼��,主要是bundle.js�����。由于JS客戶端與JarvisJSInterface服務(wù)器的信任���,可以成功注入JS內(nèi)容到WebView的攻擊者可以繼承APP已有的權(quán)限�����。
注入策略:
● 向BROWSABLE Intent中提供指定GET參數(shù)來影響JS客戶端行為;
● 用BROWSABLE Intent來觸發(fā)APP成為中間人�,查看設(shè)備的全部流量�。如果客戶端嘗試提取外部?jī)?nèi)容來注入JS內(nèi)容并翻譯為腳本或HTML。
研究人員逆向客戶端混淆后的代碼�,發(fā)現(xiàn)不能從GET參數(shù)注入JS。唯一可做的是影響客戶端的自測(cè)試���,比如電池耗盡測(cè)試或WiFi連接測(cè)試����。
PoC執(zhí)行步驟如下:
● 對(duì)目標(biāo)設(shè)備執(zhí)行中間人攻擊����,誘使用戶點(diǎn)擊“mcesystems://”中的鏈接;
● 注入JS到以下明文頁面響應(yīng):
通過callback方法調(diào)用init來劫持JS接口;
使用JS接口請(qǐng)求方法來獲得服務(wù);
使用XHR發(fā)送數(shù)據(jù)給服務(wù)器來進(jìn)行信息收集。
圖2 注入JS代碼到WebView���,允許攻擊者調(diào)用任意服務(wù)和方法
CVE-2021-42601:反序列化本地權(quán)限提升
研究人員在框架中還發(fā)現(xiàn)了一個(gè)本地權(quán)限提升漏洞——CVE-2021-42601�,允許惡意APP獲得系統(tǒng)APP的權(quán)限����。
研究人員發(fā)現(xiàn)在以上APP中,main Activity嘗試處理一個(gè)Google Firebase的鏈接(點(diǎn)擊后會(huì)啟動(dòng)APP而非瀏覽器)��。該鏈接的處理會(huì)嘗試用密鑰com.google.firebase.dynamiclinks.DYNAMIC_LINK_DATA反序列化來自Intent Extra字節(jié)數(shù)組的結(jié)構(gòu)PendingDynamicLinkData。之后��,mce框架會(huì)使用該框架來生成不同的JSON對(duì)象���,其中可能包含原始鏈接中categoryId查詢參數(shù)的數(shù)據(jù)�,最終mFlowSDKInput會(huì)以一種不安全的方式注入到JarvisWebView實(shí)例中:
圖3 未處理的JS加載允許任意代碼注入到WebView
因?yàn)閏ategoryId查詢參數(shù)可能包含多個(gè)符號(hào)�,一個(gè)可以注入任意JS代碼到webview中。研究人員決定注入代碼來服務(wù)器并加載第二階段代碼��。
圖4 本地注入PoC漏洞利用
參考及來源:https://www.microsoft.com/security/blog/2022/05/27/android-apps-with-millions-of-downloads-exposed-to-high-severity-vulnerabilities/
來源: 嘶吼專業(yè)版
在線咨詢
在線咨詢
0371-63319761