首页
社区
课程
招聘
ANDROID-8219321漏洞、POC及其他相关信息汇总
2013-7-10 01:18 21933

ANDROID-8219321漏洞、POC及其他相关信息汇总

2013-7-10 01:18
21933
这两天这个问题基本已经公之于众了。所以不用再保密了。相关信息及自己研究的一些结果放上来,汇总一下。

首先是3月和5月google官方发出的补丁说明:

3月:

Improper installation of unsigned code
ID: ANDROID-8219321
Severity: High
Affected versions: Android 2.0 and greater

An inconsistency in the handling of zip files during application installation may lead to the installation and execution of unsigned code in a privileged context.

This issue will be publicly disclosed in 90 days. A CTS test will be included in the next CTS release.

5月:

Insertion of arbitrary code without changing package signature due to incorrect parsing of APKs (update to previous bulletin)
First published: March 4th, 2013
Last Updated: May 31st, 2013
ID: ANDROID-8219321
Severity: High
Affected Android Versions: all

Arbitrary code can be inserted into an APK and pass signature verification due to incorrect parsing of APKs. A maliciously crafted classes.dex can be inserted before a legitimately signed classes.dex in an APK. Signature verification will be performed on the second, legitimate classes.dex, but the first, malicious classes.dex is installed for application use. 

Update: This issue will be publicly presented at Blackhat 2013. Please see http://www.blackhat.com/us-13/briefings.html#Forristal for more details. At that time, we expect active public exploitation of this issue outside of Google Play.

官方补丁: patch.rar

---------------------------------------------------------------------------------

当然大家关注这个问题是在7月3号bluebox在官网发文以后。
发文地址:http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/

由于问题的严重性,一时间大家开始研究起来。漏洞基本公之于众是在7号cyanogenmod打上补丁之后。
详见:http://review.cyanogenmod.org/#/c/45251/

根据打补丁的代码,大家推测到是apk中存在两个相同的classes.dex文件。于是大家又开始研究POC的问题。我也自己做了尝试,由于打包顺序问题没弄出来(失之毫厘,谬以千里啊~)。今天上班没法弄,之后大家关注到了这个网址:
https://gist.github.com/poliva/36b0795ab79ad6f14fd8

---------------------------------------------------------------------------------

到这本来应该已经完了。结果下午我网上下载了一个网易新闻Android客户端按照上面网址的操作方法,却怎么也安装不上。我曾怀疑是我方法的问题,后来写了一个简单的demo,发现通过这个方法又能成功安装。

这个方法是将原始apk数据全部压缩进修改后的未签名的apk中,体积直接增大了一倍!网站上自己对这个方法的描述也是“Quick & dirty PoC for Android bug 8219321 discovered by BlueboxSec”。所以确实存在问题。

经过上述方法的启发,我明白之前的方法问题出在压缩顺序上。应该是先压缩修改后的dex文件,再压缩原本的dex。

于是,比较完善的方法是:

1、将原本的apk中的文件解压出来。分成两个文件夹,orgin_dex和orgin_nodex。其中orgin_dex仅放解压出来的classes.dex文件,orgin_nodex放剩余的所有文件。
2、创建第三个文件夹dirty_dex,放修改之后编译出的classes.dex文件。
3、利用ant打包。build.xml如下:
<?xml version="1.0" encoding="UTF-8"?>
<project name="MyProject" default="dist" basedir=".">
<zip destfile="evil.apk" duplicate="add">
  <fileset dir="D:\\ant\\orgin_nodex\\"/>
  <fileset dir="D:\\ant\\dirty_dex\\"/>
  <fileset dir="D:\\ant\\orgin_dex\\"/>
</zip>
</project>


Linux下可使用这个shell脚本: weir.rar

---------------------------------------------------------------------------------

最后上传两个按此方法制作的apk包。一个是网易新闻,一个是微信。在启动的时候弹出自定义的Toast信息。可以直接覆盖官方应用安装。(用之前那个POC的方法我试了不能成功安装)

网易新闻下载    微信下载

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界

上传的附件:
收藏
点赞2
打赏
分享
最新回复 (15)
雪    币: 1185
活跃值: (907)
能力值: ( LV12,RANK:750 )
在线值:
发帖
回帖
粉丝
boywhp 12 2013-7-10 08:08
2
0
这个漏洞杀伤力大啊
雪    币: 127
活跃值: (98)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
gamehacker 1 2013-7-10 08:40
3
0
厉害厉害啊
雪    币: 122
活跃值: (319)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
topofall 2013-7-10 09:18
4
0
顶顶顶顶
雪    币: 85
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
忆海拾贝 2013-7-10 10:39
5
0
是的,签名没有变化 即使签名不一样也会覆盖的 打包后压缩的大小差别很小啊 是按这个来的么AndroidMasterKeys,Windows下发现不了多了个classex.dex,解压缩的时候会发现,用神马360压缩看不到,7z看的见.
雪    币: 185
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
whnet 2013-7-10 15:46
6
0
winrar 7z 都可以看见。
雪    币: 452
活跃值: (72)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
Ptero 8 2013-7-10 16:00
7
0
这里有原理介绍啊。https://plus.google.com/113331808607528811927/posts/GxDA6111vYy
利用解析zip文件的漏洞,构造一个zip文件,包含有2个同名文件,让注入的文件代替原始文件被打开。
雪    币: 408
活跃值: (1875)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
riusksk 41 2013-7-10 16:08
8
0
微信安装失败,提示"apk认证编码错误“
雪    币: 480
活跃值: (185)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
ZhWeir 6 2013-7-10 16:25
9
0
嗯?我的可以啊。你用的是什么手机?
雪    币: 408
活跃值: (1875)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
riusksk 41 2013-7-11 16:17
10
0
盖世3不受该漏洞影响,用模拟器和HTC实体机测试成功了。
雪    币: 102
活跃值: (26)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
lgwinner 2013-7-11 20:32
11
0
这个漏洞确实厉害!
在此请教,如何知道Android系统执行一个操作(比如此处的安装apk文件)系统是如何依次调用底层的方法进行应用安装的? 想弄明白安装的具体过程,如果够清晰的话应该能够绘出一个方法的调用的流程图。
雪    币: 168
活跃值: (81)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
bunnyrene 2013-7-14 14:34
12
0
应该你的手机打补丁了,我这边一台摩托也是,别的都行
雪    币: 408
活跃值: (1875)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
riusksk 41 2013-7-14 16:19
13
0
不是打补丁,是本身就没这漏洞
雪    币: 168
活跃值: (81)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
bunnyrene 2013-7-14 16:23
14
0
你的rom本身就修复了,我这边的moto的rom是5月份发布的,这个bug修复了已经
雪    币: 53
活跃值: (240)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
netsniffer 2013-7-17 15:08
15
0
个人结论:
想在odex ROM上安装特殊修改过的APK是行不通的,因为无法从odex还原原始的classes.dex。
而恰恰现在市面上的出厂ROM都是odex的,所以。。。。

但各大论坛上的第三方deodex的ROM是有极大风险的。
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
vodga 2013-7-27 15:00
16
0
模拟器安装网易新闻失败,之前是检测过,确认该漏洞存在,jarsigner检测签名也失败
游客
登录 | 注册 方可回帖
返回