Android自定义权限CVE漏洞分析 (IEEE论文)

最新推荐文章于 2024-10-08 15:37:08 发布

Tr0e

最新推荐文章于 2024-10-08 15:37:08 发布

阅读量4.5k 漏洞分析文章标签： Android权限安全

本文链接：https://blog.csdn.net/weixin_39190897/article/details/125582365

漏洞分析专栏收录该内容

30 篇文章 61 订阅

文章目录

IEEE 论文：Android 自定义权限揭秘：从权限提升到设计缺陷的分析，旨在学习 Android 自定义权限机制的安全风险和攻击模式。

由 InForSec 主办的“移动互联网安全”论坛上，作者对该研究进行了分享，InForSec 已上传会议视频至 Bilibili ：山东大学李蕊博士：Android自定义权限机制安全性分析。

【InForSec 的会议纪要】李蕊博士介绍了安卓中的两种权限：一种是系统权限，由系统 app 声明，保护系统资源；另一种是自定义权限，由第三方 app 声明，保护 app 资源。
以往工作对自定义权限的研究十分欠缺，李博士根据发现的自定义权限的威胁模型，将研究目标总结为：分析安卓系统中自定义权限机制的设计与实现，自动化检测其安全漏洞和设计缺陷。

李博士团队设计了自动化黑盒模糊测试工具 CuPerFuzzer ，对爬取的 17 万多个 APK 进行 Fuzz 并发现了多个 Android 系统高危的 CVE 漏洞，会议中重点分享了 CVE-2020-0148 和 CVE-2021-0317 漏洞原理与攻击效果演示。

北京理工大学：Android自定义权限及其设计缺陷-陆永鑫.pdf 这篇文章里作者详细分析（感谢分享）了李蕊博士的研究论文的前世今生，本文很多材料借鉴该文，特此说明。
Resolving the Predicament of Android Custom Permissions，此处附上一篇论文解读：CustomPermission。

下面介绍下他提到的第一类漏洞—— Android 自定义权限升级（custom permission upgrade）。该漏洞使得攻击者可在未经过用户交互的情况下，直接获取 dangerous 级别的系统权限。

下图总结了该漏洞的攻击场景：

攻击步骤
1. 首先攻击者创建一个 app，声明一个自定义权限，级别为 normal 或 signature，并且将自定义权限设置为系统权限组的一部分（如存储，或照相机）；
2. 攻击者更新此自定义权限的定义，将保护级别更改为 dangerous，并继续在相应的应用市场上推送其应用的更新，此时攻击者 app 将自动获取授权，同时自动获取同组其他危险权限，而不会告知用户。
漏洞原理
1. Android 处理自定义权限的方式与系统权限相同，对于 normal 和 signature 级别的权限在安装时授予，而对于传统应用程序（SDK<23），dangerous 权限也在安装时授予，但对于新应用程序（SDK>23），则在运行时被授予;
2. 当 System 系统权限从安装时授予变成运行时授予，意味着这个 app 升级到了 SDK 23 以上，当 Custom 自定义权限升级，暗示着这个 app 有可能升级了，也有可能权限级别从 normal、signature 变成了dangerous ，但是系统并不具备区分这两种情况的能力；
3. 当恶意应用 app-test 更新修改了自定义权限声明，使保护级别从正常或签名变为危险时，系统错误地将这种情况视为系统应用程序的升级，并尝试升级现有的权限到运行时权限，则攻击者可在未经过用户交互的情况下，直接获取 dangerous 级别的系统权限。
官方补丁

系统可以以检查其源包是否是系统应用程序的方式判断一个权限是否是系统权限。若是自定义权限，则当权限保护级别从正常或签名变为危险时，系统将保持原有的保护级别。
CuPerFuzzer 。

解释下测试用例构建

应用安装，应用卸载，应用升级，系统升级，这四种操作都可能触发系统更新赋权状态：
- 安装应用可能会导致加入新的自定义权限；
- 卸载应用可能会导致已有的自定义权限被删除；
- 升级应用可能使自定义权限更新或删除；
- 系统升级中可能会加入或删除已有系统的权限；
应用升级操作的基本原理是多次安装不同版本。使用 adb 和 fastboot 控制和系统升级，使用控制多台测试实现设备并行测试。

CuPerFuzzer最终的实验成果

李蕊团队使用 4 部 Pixel 2 手机，40195 个测试案例，耗时 319.3 小时(约13.3天)，平均一个测试用例执行了 114.4s。

最终，CuPerFuzzer 发现了 2,384 个测试用例触发了特权提升，包括 30 条关键路径。

最终将发现的漏洞概括为以下几类：

下面会介绍下已分配 CVE 编号的前四个漏洞的漏洞信息与原理。
CVE-2020-0418，删除了未定义权限组：android.permission-group.UNDEFINED。

B站：山东大学李蕊博士：Android自定义权限机制安全性分析；
议题涉及的完整漏洞Demo程序演示视频材料；
Android 自定义权限漏洞 Fuzz 测试工具 CuPerFuzzer ；
GOSSIP团队对该议题论文的简单翻译；
北理工详细分析-Android自定义权限及其设计缺陷；
PDF论文下载地址：https://www.semanticscholar.org/paper；
推荐一个安全大会论文pdf下载网站：https://typeset.io/papers。