首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 茶余饭后
    3. 发新帖
深度:剖析三星Galaxy KNOX远程代码执行漏洞
发表于: 2014-11-25 15:31 1314

深度:剖析三星Galaxy KNOX远程代码执行漏洞

rangertd 活跃值
2014-11-25 15:31
1314
新闻链接:http://www.freebuf.com/news/52668.html
新闻时间:2014-11-25
新闻正文:
    本文将详细介绍三星 Galaxy S5最新发现的远程执行漏洞,攻击者可以藉此漏洞入侵系统。目前三星官方已在Galaxy S5、Note 4和Alpha产品中修复此漏洞,但在S4,S4 Mini,Note3和Ace 4(可能还有其他设备)上尚未被修复。
   
介绍

    KNOX,是三星的一款基于开源Android平台的安全解决方案,可以通过物理手段和软件体系相结合的方式全面增强了安全性。
    我们Quarkslab团队喜欢捣鼓Android设备。所以当三星Galaxy S5发布时,我们检查了一下它的固件。很快我们便发现了一个简单的漏洞和可用的exp(漏洞利用)。出现漏洞的程序是UniversalMDMApplication。这个程序默认包含在S5的ROM中,也是三星KNOX安全解决方案中的一部分。
    利用这个漏洞我们可以让有漏洞的程序误以为有新的更新。结果就是应用程序会弹出一个窗口询问用户是否需要更新。如果用户选择“是”,恶意软件就会安装;而如果用户选择了“否”,我们可以再次弹出窗口让用户误以为“否”这个按钮失效了。我们的漏洞可以通过email实现(让用户点击一个链接),或者也可以在用户用Chrome/自带浏览器浏览网页时被触发。或者攻击者也可以在MITM(中间人攻击)时在HTML网页中注入一段JavaScript来实现漏洞。
    我们一直没有公布这个漏洞因为我们打算在mobile pwn2own大赛公布,但貌似今年的规则更严了。新的规则中,受害者只能做一次点击操作。所以当弹窗出现时,尽管大部分用户会点击“是”,但对Pwn2Own大赛而言,这已经犯规。

    即使没有“用户交互”的问题,这个漏洞今年8月也已经在三星Note 4和Alpha上修复,只是直到10月还未在Galaxy S5上修复,所以这漏洞也不能用于pwn2own了。

    本文将介绍漏洞工作原理,提醒开发者注意此类漏洞,还将附上漏洞的利用方式。

时间线
2014年4月 - 三星Galaxy S5发布,我们发现了漏洞
2014年8月 - 三星Galaxy Note 4和Alpha发布。在这两款机型的ROM中漏洞被修复
2014年10月 - 三星S5上的漏洞被修复
2014年11月 - Mobile Pwn2Own大赛

据我们所知,以下机型的漏洞尚未被修复:
三星 Galaxy S4 (ROM版本: I9505XXUGNH8)
三星 Galaxy S4 mini (ROM版本: I9190UBUCNG1)
三星 Galaxy Note 3 (ROM版本: N9005XXUGNG1)
三星 Galaxy Ace 4 (ROM版本: G357FZXXU1ANHD)

警告:这份列表中没有列出所有设备,其他的设备也可能有漏洞。在文章结尾处有修复漏洞的方法。

漏洞分析

UniversalMDMClient应用默认是以三星KNOX组件被安装的,它会注册一个URI:"smdm://"。当用户点击一个指向"smdm://"的链接时,UniversalMDMClient中的LaunchActivity组件就会启动并分析这个URL。它会从这个URL中提取很多信息,包括更新服务器的URL。

提取到更新服务器的URL后,应用会对URL使用HEAD方法,它会检查服务器是否返回一个非标准的header:"x-amz-meta-apk-version"。如果服务器返回了这个header,它会检查UniversalMDMClient应用的当前版本,与"x-amz-meta-apk-version" header中的版本进行比对。如果header的版本号更新,它就会向用户显示一个弹窗提醒用户有可用更新,询问用户是否需要升级。
如果用户选择了“是”,程序就会像更新服务器URL发送GET请求,而响应内容就会以APK文件的形式保存,最后,它会在不提示用户这个应用程序需要的权限也不检查程序证书的情况下安装应用。因此,如果攻击者能够让用户更新,他也就可以在用户的设备上安装恶意软件了。

2014年10月漏洞被修复,程序会检查下载的APK程序的包名是否与UniversalMDMClient应用中的相同。由于两个程序有两个不同证书而包名相同,所以就不能安装恶意程序了。

这个漏洞已经可以在Metasploit上使用:
模块:exploit/android/browser/samsung_knox_smdm_url
模块下载:https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/android/browser/samsung_knox_smdm_url.rb

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//