Android小分队教你怎么利用Bluebox Security 曝的漏洞
2014-11-03 22:02
423 查看
声明:本文所讨论之技术仅用于学习交流之用,请不要用来破坏他人手机安全和做违法的事情,否则,一切后果自负。
回顾漏洞新闻:
http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/
1. 漏洞原理
漏洞的关键点在于,Android假设一个APK包中的文件是不会重名的。可实际上Zip格式是允许一个Zip文件包含具有相同文件命的文件。(注意,这里的文件名,包括这个文件在Zip包里的相对路径)。
Android在安装应用时,会抽取APK包中每个文件,进行签名验证。但如果碰到了相同文件名的文件,则只会校验第二个文件,而忽略第一个文件。
另外在应用运行前会释放classes.dex到/data/dalvik-cache/目录生成优化过的odex文件,然后再运行。这个阶段如果APK里有两个classes.dex,就只会抽取第一个classes.dex进行优化,而忽略第二。
好了,说到这,相信读者应该明白怎么利用这个漏洞了吧。
2. 攻击分析
如果我们将一个APK包中放入两个classes.dex文件。第一个classes.dex是被我们篡改过的恶意dex文件;第二个classes.dex是原来这个APK中的classes.dex文件。那么在签名验证时,就会验证原来的classes.dex,因此通过验证;而执行时,却执行了被篡改过的第一个classes.dex。
3. 攻击步骤
a) 找个你想攻击的APK,抽取出其classes.dex保存
b) 反编译 classes.dex,修改之,重新生成新的classes.dex,更名为classes.dey
c) 用7z打开原APK包,删除其中的classes.dex,保存退出7z。
d) 依次将classes.dey和保存的classes.dex,通过7z塞入APK,然后保存退出7z
e) 用UltraEdit编辑修改过的APK,查找“classes.dey”,修改为“classes.dex”(共有两处),然后保存。
f) 大功告成。
4. 总结
a) 这个漏洞可以攻击几乎所有的APK应用。利用该漏洞修改过的APK,能依然保留原签名,可以通过Android的签名验证,并能执行恶意代码。
b) 如果手机里的一些应用是APK + odex形式存在的。很不幸,这个漏洞无法攻击这部手机上的这些应用。因为这个APK里没有classes.dex,无法借尸还魂。
c) 如果手机里有Settings.apk(非APK + odex形式),取出来修改下,再安装覆盖,就能拿到System权限。因为Settings是system uid。
最后再强调下,别干坏事,否则后果自负。毕竟目前市面上99%的手机都未打该漏洞的补丁。
回顾漏洞新闻:
http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/
1. 漏洞原理
漏洞的关键点在于,Android假设一个APK包中的文件是不会重名的。可实际上Zip格式是允许一个Zip文件包含具有相同文件命的文件。(注意,这里的文件名,包括这个文件在Zip包里的相对路径)。
Android在安装应用时,会抽取APK包中每个文件,进行签名验证。但如果碰到了相同文件名的文件,则只会校验第二个文件,而忽略第一个文件。
另外在应用运行前会释放classes.dex到/data/dalvik-cache/目录生成优化过的odex文件,然后再运行。这个阶段如果APK里有两个classes.dex,就只会抽取第一个classes.dex进行优化,而忽略第二。
好了,说到这,相信读者应该明白怎么利用这个漏洞了吧。
2. 攻击分析
如果我们将一个APK包中放入两个classes.dex文件。第一个classes.dex是被我们篡改过的恶意dex文件;第二个classes.dex是原来这个APK中的classes.dex文件。那么在签名验证时,就会验证原来的classes.dex,因此通过验证;而执行时,却执行了被篡改过的第一个classes.dex。
3. 攻击步骤
a) 找个你想攻击的APK,抽取出其classes.dex保存
b) 反编译 classes.dex,修改之,重新生成新的classes.dex,更名为classes.dey
c) 用7z打开原APK包,删除其中的classes.dex,保存退出7z。
d) 依次将classes.dey和保存的classes.dex,通过7z塞入APK,然后保存退出7z
e) 用UltraEdit编辑修改过的APK,查找“classes.dey”,修改为“classes.dex”(共有两处),然后保存。
f) 大功告成。
4. 总结
a) 这个漏洞可以攻击几乎所有的APK应用。利用该漏洞修改过的APK,能依然保留原签名,可以通过Android的签名验证,并能执行恶意代码。
b) 如果手机里的一些应用是APK + odex形式存在的。很不幸,这个漏洞无法攻击这部手机上的这些应用。因为这个APK里没有classes.dex,无法借尸还魂。
c) 如果手机里有Settings.apk(非APK + odex形式),取出来修改下,再安装覆盖,就能拿到System权限。因为Settings是system uid。
最后再强调下,别干坏事,否则后果自负。毕竟目前市面上99%的手机都未打该漏洞的补丁。
相关文章推荐
- Bluebox Security提报Android 绕过应用签名认证漏洞
- Bluebox Security最新提报Android漏洞的初步探讨(转)
- Bluebox Security最新提报Android漏洞的初步探讨
- IBM Security AppScan Glass Box:一种全新的漏洞扫描思想
- Android第二个签名漏洞#9695860(The Second Master Key)的手动构造利用
- 从源码中浅析Android中怎么利用attrs和styles定义控件
- Android“FakeID”签名漏洞分析和利用
- android安全问题(八)伪造短信(利用原生android4.0漏洞)
- Android libcutils库中整数溢出导致的堆破坏漏洞的发现与利用
- 分享:Android 应用有哪些常见,浅谈常被利用的安全漏洞?
- 分享:Android 应用有哪些常见,浅谈常被利用的安全漏洞?
- 诸葛建伟:Android安全漏洞检测与利用
- 恶意程序利用Android漏洞点击劫持
- Mysql 漏洞利用(越权读取文件,实战怎么从低权限拿到root密码)[转]
- Mysql 漏洞利用(越权读取文件,实战怎么从低权限拿到root密码)[转]
- Android 应用有哪些常见,常被利用的安全漏洞?
- android安全问题(八)伪造短信(利用原生android4.0漏洞)
- 手动打造apk利用ANDROID-8219321漏洞(Master Key)绕过android签名校验
- 利用Android的UXSS漏洞完成一次XSS攻击
- 安卓安全小分队发现Android新漏洞