近日,有博主发文称某疑似拼多多的app利用 Android 的反序列化洞子攻击用户手机,直接内核提权,窃取竞争对手软件数据,然后给自己保活,顺手防止自己被卸载…

如何评价该app的这种行为?事件可信度如何?

传送门:「 深蓝洞察 」2022 年度最“不可赦”漏洞
XXX apk 内嵌提权代码,及动态下发 dex 分析

2023-03-09T14:57:35.png

Android Framework 中一个核心的对象传递机制是 Parcel, 希望被通过 Parcel 传递的对象需要定义 readFromParcel 和 writeToParcel 接口函数,并实现 Parcelable 接口。 理论上来讲,匹配序列化和反序列化函数应当是自反等效的,但系统 ROM 的开发者在编程过程中可能会出现不匹配的情况,例如写入的时候使用了 writeLong, 读取的时候却使用了 readInt。 这类问题在运行过程中一般不会引起注意,也不会导致崩溃或错误,但在攻击者精心布局下,却可最终利用 Settings 和 system_server 进程,将这个微小的错误转化为 StartAnyWhere 提权。 Android 近年来累计已修复上百个这类漏洞,并在 Android 13 中对 Parcel 机制做了改革,彻底杜绝了大部分此类攻击面。 但对于鸿蒙和绝大部分未升级到 Android 13 的设备和用户来说,他们仍处于危险之中。 我们这篇主要来看看XXX apk 内嵌提权代码,及动态下发 dex 分析 这个库里面提供的 Dex ,看看 App 到底想知道用户的什么信息?总的来说,App 获取系统权限之后,主要做了下面几件事(正常 App 无法或者很难做到的事情),各种不把用户当人了自启动、关联启动相关的修改,偷偷打开或者默认打开:与手机厂商斗智斗勇开启通知权限监听通知内容获取用户的使用手机的信息,包括安装的 App、使用时长、用户 ID、用户名等修改系统设置整一些系统权限的工具方便自己使用另外也可以看到,App 对于各个手机厂商的研究还是比较深入的,针对华为、Oppo、Vivo、Xiaomi 等厂商都有专门的处理,这个也是值得手机厂商去反向研究的0. Dex 文件信息XXX apk 内嵌提权代码,及动态下发 dex 分析 这个库提供的的 Dex 文件总共有 37 个,不多,也不大,慢慢看
2023-03-09T14:59:25.png
由于是 dex 文件,所以直接使用 https://github.com/tp7309/TTDeDroid 这个库的工具打开看即可,比如 showjar 95cd95ab4d694ad8bdf49f07e3599fb3.dex 默认是用 jadx 打开,我们重点看内容

作者:Gracker
链接:https://www.zhihu.com/question/587624599/answer/2927765317
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

最后修改:2023 年 03 月 09 日
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏