小米平安中间APP破绽剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

小米平安中间APP破绽剖析

申博_安全预警 申博 202次浏览 已收录 0个评论

CARPE (DIEM): CVE-2019-0211 Apache Root Privilege Escalation

Introduction 对于从2.4.17版本(2015年10月9日发布)到2.4.38版本(2019年4月1日发布)之间的Apache HTTP系统来说,由于存在数组访问越界导致的任意函数调用问题,导致系统容易受到本地root提权攻击。当Apache正常重新启动(apache2ctl g

概述

Check Point研究人员发明小米手机预装运用中存在平安破绽。更嗤笑的是存在破绽的运用竟然是平安中间(Guard Provider,com.miui.guardprovider),平安中间运用程序正本应该是检测歹意软件、珍爱用户手机的,然则小米平安中间却将用户暴露在要挟当中。

由于收集流量和平安中间运用之间收集流量不平安的素质,进击者能够衔接在受害者地点的WiFi收集并提议中间人(Man-in-the-Middle,MiTM)进击。然后作为第三方SDK更新,平安中间能够封闭歹意软件珍爱并注入歹意代码来盗取数据、植入讹诈软件、追踪软件或装置其他恣意的歹意软件。

Check Point将该破绽转达给小米后,小米已宣布了补钉。

图1: Xiaomi预装的平安中间APP(Guard Provider)

进击道理

小米平安中间APP是一切主流手机中都预装的APP,它运用很多第三方SDK作为供应的平安效劳的一部分,包孕装备珍爱、渣滓清算等。
APP中植入了三种分歧的反病毒引擎供用户挑选,分别是Avast, AVL和腾讯。在挑选APP后,用户能够挑选个中一个引擎作为扫描装备的默许反病毒引擎。
实际上在统一APP中运用多个SDK有一些潜伏的晦气的地方。由于这些SDK同享app情况和权限,重要的晦气的地方在于:

  1. 一个SDK中存在题目能够会损坏其他一切SDK的珍爱
  2. 一个SDK的私有存储数据没法断绝,能够被其他SDK接见。

下面解释一下如安在小米平安中间运用中实行长途代码实行进击。
由于来自小米装备的平安中间运用的收集流量都是不平安的,因而能够经由历程中间人进击的体式格局举行阻拦,然后注入歹意代码作为第三方SDK的更新代码。下面详细来看一下:

Stage 1: Avast更新

默许情况下AVAST是该APP的平安扫描器,APP会周期性地下载avast-android-vps-v4-release.apkAPK文件到平安中间APP的私有目次来更新病毒数据库:
/data/data/com.miui.guardprovider/app_dex/vps_update_<timestamp>.apk
当文件下载完成后,Avast SDK 会加载和实行该APK文件。好比,vps_update_20190205-124933.apk

图2: Avast更新文件

然则由于更新历程运用的是不平安的HTTP衔接来下载文件,因而进击者能够经由历程MITM进击来检测Avast更新的时刻并展望下一次要下载的APK的文件名。进击者只须要阻拦http://au.ff.avast.sec.miui.com/android/avast-android-vps-v4-release.apk衔接的相应部分内容就能够:

图3: Avast更新流量

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

展望的Avast更新的文件名会用于第二步的进击。MITM进击者能够用404 error来相应http://au.ff.avast.sec.miui.com/android/vps_v4_info.vpx要求来防备以后的Avast更新。

Stage 2: 经由历程AVL更新途径遍历破绽来覆写Avast更新APK

一旦进击者最先阻拦到Avast效劳器的衔接,用户就会将默许反病毒软件另一个反病毒引擎,本例中是AVL反病毒软件。AVL反病毒SDK也是平安中间APP内置的。

当AVL酿成默许的反病毒软件,就会马上更新APP的反病毒数据库。这是经由历程要求配置文件(好比http://update.avlyun.sec.miui.com/avl_antiy/miuistd/siglib/20180704.cj.conf)来搜检新病毒署名的存在来完成的。.conf文件是明文文本格式的,含有新署名文件的URL、巨细、MD5哈希值等。

图4: AVL更新配置文件
在处理完配置文件以后,AVL会下载署名压缩文件(read_update_url域)并解压到平安中间APP的目次。
由于下载历程也是经由历程不平安的衔接,因而MITM进击者能够修正.conf文件的内容:运用is_new=0来注解新更新的存在,并供应到捏造的ZIP文件的URL链接。

图5: AVL更新配置文件
AVL SDK还存在一个破绽能够资助进击者完成第二阶段的进击:即在解压缩历程当中的途径遍历破绽。因而,进击者能够用捏造的压缩文件来覆写app沙箱中的恣意文件,包孕与其他SDK相干的文件。

一个捏造的APK文件,加上../../app_dex/vps_update_20190205-124933.apk到ZIP署名压缩文件中就能够胜利地覆写之前下载的AVAST更新,一切的反病毒SDK组件在各自的SDK中都运用雷同的沙箱。

而上次Avast更新的AOK文件名在第一步的MITM进击中已获得了。

图6: 捏造的含有 AVL署名的压缩文件
接下来进击者须要做的就是规复Avast通讯并阻拦AVL通讯直到用户挑选Avast作为反病毒引擎为止。若是用户挑选Avast作为反病毒引擎,Avast SDK就会加载和实行捏造的歹意APK文件。

由于Avast更新的署名文件在加载之前是不考证的,而平安中间app在文件刚下载时已考证过署名了,以是进击会胜利举行。如许的话,捏造的歹意文件就能够绕过平安防护,下载得手机上并一般运转。

结论

小米的案例让我们再一次对智能手机厂商的预装运用的可信度提出了质疑。同时在运用开辟的时刻要注意其平安性,尤其是智能手机厂商要注意预装和内置运用程序的平安性。
上面的进击场景说清楚明了在统一app中运用多个SDK文件的不平安性。单个SDK的破绽能够只是自力的题目,然则统一app中的多个SDK存在平安破绽的话,就能够会激发组合破绽,形成难以估计的伤害和要挟。

CARPE (DIEM): CVE-2019-0211 Apache Root Privilege Escalation

Introduction 对于从2.4.17版本(2015年10月9日发布)到2.4.38版本(2019年4月1日发布)之间的Apache HTTP系统来说,由于存在数组访问越界导致的任意函数调用问题,导致系统容易受到本地root提权攻击。当Apache正常重新启动(apache2ctl g


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明小米平安中间APP破绽剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址