Android小分队教你怎么利用Bluebox Security 曝的漏洞

声明：本文所讨论之技术仅用于学习交流之用，请不要用来破坏他人手机安全和做违法的事情，否则，一切后果自负。

回顾漏洞新闻：

http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/

1. 漏洞原理

漏洞的关键点在于，Android假设一个APK包中的文件是不会重名的。可实际上Zip格式是允许一个Zip文件包含具有相同文件命的文件。（注意，这里的文件名，包括这个文件在Zip包里的相对路径）。

Android在安装应用时，会抽取APK包中每个文件，进行签名验证。但如果碰到了相同文件名的文件，则只会校验第二个文件，而忽略第一个文件。

另外在应用运行前会释放classes.dex到/data/dalvik-cache/目录生成优化过的odex文件，然后再运行。这个阶段如果APK里有两个classes.dex，就只会抽取第一个classes.dex进行优化，而忽略第二。

好了，说到这，相信读者应该明白怎么利用这个漏洞了吧。

2. 攻击分析

如果我们将一个APK包中放入两个classes.dex文件。第一个classes.dex是被我们篡改过的恶意dex文件；第二个classes.dex是原来这个APK中的classes.dex文件。那么在签名验证时，就会验证原来的classes.dex，因此通过验证；而执行时，却执行了被篡改过的第一个classes.dex。

3. 攻击步骤

a) 找个你想攻击的APK，抽取出其classes.dex保存

b) 反编译 classes.dex，修改之，重新生成新的classes.dex，更名为classes.dey

c) 用7z打开原APK包，删除其中的classes.dex，保存退出7z。

d) 依次将classes.dey和保存的classes.dex，通过7z塞入APK，然后保存退出7z

e) 用UltraEdit编辑修改过的APK，查找“classes.dey”，修改为“classes.dex”（共有两处），然后保存。

f) 大功告成。

4. 总结

a) 这个漏洞可以攻击几乎所有的APK应用。利用该漏洞修改过的APK，能依然保留原签名，可以通过Android的签名验证，并能执行恶意代码。

b) 如果手机里的一些应用是APK + odex形式存在的。很不幸，这个漏洞无法攻击这部手机上的这些应用。因为这个APK里没有classes.dex，无法借尸还魂。

c) 如果手机里有Settings.apk（非APK + odex形式），取出来修改下，再安装覆盖，就能拿到System权限。因为Settings是system uid。

最后再强调下，别干坏事，否则后果自负。毕竟目前市面上99%的手机都未打该漏洞的补丁。