漏洞概述

Android 8.1引入了默认打印服务。默认打印服务，基于Mopria联盟在谷歌应用商店发布的免费应用，Mopria Print Service。因其缺乏验证，所以会导致中间人攻击并被拦截后续的打印作业，还会造成在使用潜在不安全的打印设备时不发出任何警告或确认。

认证

安全研究员Matt Parnell已经将这个漏洞报给Beyond Security的安全团队。

受感染系统

Android8.1默认打印服务

厂商声明

“Android的安全团队已经就此次报告做了一个初步的严重性评估。根据我们发布的安全评估模型（1）它不算是一个安全漏洞，属于Android安全报告（Android security bulletin）允许的范围。如果关于此漏洞你们还有其他信息让你觉得我们应该对它进行再次评估，请告知我们。为反映此评估已将‘解决方案说明’的标签设置为NSBC(Not Security Bulletin Class，非安全公告类)。”

漏洞详情

让我们先来看看Android8.1的默认打印服务

当用户使用“添加手动打印机”功能，例如添加IPP打印机，他们会假设系统是具有情景感知能力的。然而事实并非如此，所以设备可能会连接到一个恶意网络，或者中间人攻击网络，例如Pineapp，这些操作者会做以下两个动作之一：

1.欺骗主机这就是它想要使用的打印机并在其地址上提供IPP兼容服务。

2.在设备期望的IP地址上提供IPP服务。

这两种操作都可以在任何已连接的网络上完成，而且只要它们配置好了，攻击者就可以很轻易地在相同的网络上提供合适的主机名或地址，并拦截打印作业。当然，在这种情况下，渗透受害者常用来打印的网络，或者使用pineapple网络都是不错的选择。据说，Android会默认选择上一次使用过的打印机，即使并没有发现/连接它，或者连接到添加了该打印机的网络。于是，粗心的使用者就只是简单的选择打印而没有进行检查。在上面的测试中，我们使用了IPP服务。唯一修改的地方是，让它使用默认的IPP 631端口：

https://github.com/watson/ipp-printer

所有的打印机将会——作为第二阶段攻击向量，新的打印服务非常好，可以使用mDNS聚合可用打印机列表，但是mDNS很容易被污染，或者攻击者可以使用通用的Unix打印系统（Common Unix Printing System, CUPS）简单地提供一个或多个虚拟打印机。使用和真实打印机一样的名字或者使用类似于“酒店商务中心打印机”的名字，攻击者就可以确保在受害者在它们的Android8.1设备上使用打印功能时出现在可选打印机列表上。不进行任何验证，并且用户在打印之前不必确认使用或添加给定打印机。一劳永逸！

下面是我们攻击时使用的假冒的，被自动连接的CUPS 打印机。

无论在哪一种情况下，一旦假冒的设备处于活跃状态，攻击者就可以捕获打印作业然后离开，或者添加额外的隐身级别。实际上一旦截获了打印作业，其目的就不是善意的。应该假设所有可能性。

原文链接：https://blogs.securiteam.com/index.php/archives/3751
编译：看雪翻译小组 lumou
校对：看雪翻译小组 梦野间

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法