Android Fragment注入漏洞

Android Fragment注入漏洞

by Bob Pan

最近IBM的工程师发现了一个android框架层的注入漏洞, 利用这个漏洞可以让攻击者者执行特定代码或者绕过某些安全检查.

漏洞形成原因

Android框架支持在Activity中以Fragment的形式展示界面. 而PreferenceActivity是一个支持Fragment的基类activity, 他会根据传人的参数EXTRA_SHOW_FRAGMENT, (‘:android:show_fragment’)动态创建fragment而现实相应的界面, 问题就出在PreferenceActivity没有检查传入的参数, 盲目的根据传入的参数构建对象.

Fragment和activity的关系

盲目构建对象的地方

攻击条件

1. android4.3及之前版本
2. 有Activity继承PreferenceActivity类并且被声明成export=true

攻击点

1. 在java中, 当一个对象被构建的时候, 这个类的静态构建函数和对象的构建函数都被执行, 如果这2个函数包含特定的代码, 则可以触发攻击. 由于构建出来的对象需要转换成Fragment对象, 所以当产生的对象不是Fragment类型则会出异常
2. 但是如果这个对象刚好是一个Fragment类型时, PreferenceActivity能展现对应的界面. 可以绕过某些验证而直接呼出对应的界面.

POC

在原始的paper中, 使用了系统中的Settings程序做演示. 演示在没有原始pin码的情况下修改系统的pin码.

am start -n com.android.settings/com.android.settings.Settings -e :android:show_fragment 'com.android.settings.ChooseLockPassword$ChooseLockPasswordFragment' -ez confirm_credentials false

攻击效果

如何防范

1. 不要在构造函数和静态构造函数执行逻辑操作
2. 不要将activity声明承export=true