串謀權(quán)限攻擊

移動(dòng)應(yīng)用安全串謀權(quán)限攻擊Android程序中資源的訪問包括使用Framework提供的功能通過系統(tǒng)提供的權(quán)限機(jī)制進(jìn)行控制的2.訪問其它程序的組件其他組件自定義權(quán)限控制正常情況下，沒有聲明特定的訪問權(quán)限，就無法訪問這些資源第三層面-程序運(yùn)行時(shí)的安全串謀權(quán)限攻擊但通過其它程序中可訪問的Android組件，就有可能突破這種訪問控制，從而提升程序本身的權(quán)限，這種權(quán)限提升的攻擊方式稱為串謀權(quán)限攻擊。串謀權(quán)限攻擊的原理如圖7.1所示：第三層面-程序運(yùn)行時(shí)的安全程序1程序2聯(lián)網(wǎng)下載文件并保存到sd卡上圖7.1串謀權(quán)限攻擊組件1.1組件1.2組件2.1組件2.2不允許允許串謀權(quán)限攻擊實(shí)例在下載管理程序中DownloadManager中輸入要下載文件的URL，點(diǎn)擊載按鈕可以下載文件并保存到SD卡上DownloadManager有下載文件與保存到SD卡上的權(quán)限D(zhuǎn)ownloadManager的AndroidManifest.xml聲明如下：<uses-permissionandroid:name=“android.permission.WRITE_EXTERNAL_STORAGE”／><uses-permissionandroid:name=“android.permission.INTERNET”／>第三層面-程序運(yùn)行時(shí)的安全串謀權(quán)限攻擊實(shí)例下載文件的功能是通過接收下載請(qǐng)求廣播，在下載廣播接收者中完成廣播接收者在AndroidManifest.xml中聲明如下:<receiverandroid:name=”.DownloadReceiver”><intent-filter><actionandroid:name=”com.droider.download"></action>

</intent-filter></receiver>第三層面-程序運(yùn)行時(shí)的安全串謀權(quán)限攻擊實(shí)例DownloadReceiver響應(yīng)action為“com.droider.download”的廣播，然后按Intent指定的URL下載文件，響應(yīng)廣播的代碼如下：

publicvoidonReceive(Contextcontext,Intentintent){if(intent.getAction().equals(”com.droider.download‘’)){Stringurl=intent.getExtras().getString(”url”);StringfileName=intent.getExtras().getString(”filename”);Toast.makeText(context,url,Toast.LENGTH_SHORT).show();try{downloadFile(url，fileName);//下載文件;下載的文件名由url字符串傳過來，保存的//文件名通過filename傳遞過來

}catch(IOExceptione){e．printStackTrace()；

}}}第三層面-程序運(yùn)行時(shí)的安全串謀權(quán)限攻擊實(shí)例攻擊程序EvilDownloader，無任何權(quán)限，只需發(fā)送文件下載請(qǐng)求廣播

btn1.setOnClickListener(newOnClickListener(){@OverridepublicvoidonClick(Viewv){Intentintent=newIntent();//創(chuàng)建Intent對(duì)象

intent.setAction(”com.droider.download”)；intent.putExtra(“url”,“http://developer.android.com/images/home/android-jellybean.png”);//要下載的文件URL第三層面-程序運(yùn)行時(shí)的安全串謀權(quán)限攻擊實(shí)例StringfileName=“jb.png”;//保存的文件名

intent.putExtra(“filename”,fileName);sendBroadcast(intent);//發(fā)送廣播

}})；EviIDownloader實(shí)例的下載文件按鈕被點(diǎn)擊后，執(zhí)行以上代碼DownloadReceiver收到廣播后開始下載文件，完成串謀攻擊第三層面-程序運(yùn)行時(shí)的安全實(shí)驗(yàn)7.1串謀權(quán)限攻擊實(shí)驗(yàn)：1、安裝運(yùn)行DownloadReceiver和EvilDownloader2、實(shí)現(xiàn)串謀攻擊注意：將要下載的文件改成本機(jī)的URL第三層面-程序運(yùn)行時(shí)的安全實(shí)驗(yàn)7.1串謀權(quán)限攻擊實(shí)驗(yàn)：3、查看串謀攻擊效果

命令行下執(zhí)行：adbshellls/mnt/sdcard第三層面-程序運(yùn)行時(shí)的安全串謀權(quán)限攻擊檢測(cè)串謀攻擊針對(duì)Android系統(tǒng)的可訪問組件，防范方法是在編寫代碼時(shí)為組件添加訪問控制權(quán)限在不具備源代碼的訪問權(quán)限時(shí)，借助工具來完成安全檢測(cè)Android平臺(tái)安全評(píng)估工具M(jìn)ercury：檢查組件權(quán)限提升漏洞檢測(cè)Android系統(tǒng)安全漏洞第三層面-程序運(yùn)行時(shí)的安全實(shí)驗(yàn)7.2串謀權(quán)限攻擊檢測(cè)解壓mercury-v1.1.zip在AVD上安裝mercury-server.apk（若在手機(jī)上安裝，確保手機(jī)能夠獲取root權(quán)限）手機(jī)上啟動(dòng)mercury在pc端開啟端口轉(zhuǎn)發(fā)（Mercury客戶端通過Socket與AVD上的服務(wù)器通訊）adbforwardtcp:31415tcp:31415(31415是Mercury使用的默認(rèn)端口）PC上31415端口通信數(shù)據(jù)重定向到手機(jī)31415端口的server上第三層面-程序運(yùn)行時(shí)的安全實(shí)驗(yàn)7.2串謀權(quán)限攻擊檢測(cè)安裝phthon并將其安裝目錄列入PATH目錄中啟動(dòng)Mercury客戶端：命令提示符下執(zhí)行mercury.py在Shell環(huán)境下執(zhí)行“connect”連接服務(wù)端連接成功后輸入help查看可使用的命令輸入broacast命令，進(jìn)入廣播的檢測(cè)執(zhí)行info命令查看所有的廣播接收者第三層面-程序運(yùn)行時(shí)的安全實(shí)驗(yàn)7.2串謀權(quán)限攻擊檢測(cè)*mercury#broadcast>infoPackagename:com.android.launcherReceiver:com.android.launcher2.UninstallShortcutReceiverRequiredPermission:com.android.launcher.permission.UNINSTALL_SHORTCUTPackagename:com.android.deskclockReceiver:com.android.alarmclock.AnalogAppWidgetProviderRequiredPermission:nullPackagename:cam.droider.downloadmanagerReceiver:com.droider.downloadmanager.DownloadReceiverRequiredPermission:null第三層面-程序運(yùn)行時(shí)的安全組件安全android組件:activityBroadcastReceiverServiceContentProvider第三層面-程序運(yùn)行時(shí)的安全組件安全-activityActivity訪問控制:Android系統(tǒng)組件在指定Intent過濾器(intent-filter)后，默認(rèn)是可以被外部程序訪問的?？赡鼙黄渌绦蛴脕磉M(jìn)行串謀攻擊防止Activity被外部調(diào)用Android組件聲明時(shí)可以通過指定android:exported屬性值為false，來設(shè)置組件不能被外部程序調(diào)用。外部程序指簽名不同、用戶ID不同的程序；簽名相同且用戶ID相同的程序在執(zhí)行時(shí)共享同一個(gè)進(jìn)程空間，彼此之間是沒有組件訪問限制第三層面-程序運(yùn)行時(shí)的安全組件安全-activity

activity能夠被特定程序訪問的條件：不能設(shè)定android：exported屬性使用android：permission屬性指定一個(gè)權(quán)限字符串如下面的Activity聲明：

<Activityandroid:name=“.MyActivity”android:permission=“com.droider.permission.MyActivity”><intent-filter><actionandroid:name=”com.droider.action.work”><／action></intent-filter></Activity>第三層面-程序運(yùn)行時(shí)的安全組件安全-activity聲明后Activity被調(diào)用時(shí)，Android系統(tǒng)就會(huì)檢查調(diào)用者是否具有com.droider.permission.MyActivity權(quán)限，如不具備引發(fā)一個(gè)SecurityException安全異常要調(diào)用該Activity的程序必須在AndroidManifest.xml文件中加入下面這行聲明權(quán)限的代碼：<uses-permissionandroid:name=“com.droider.permission.MyActivity”/>第三層面-程序運(yùn)行時(shí)的安全組件安全-activity-劫持Activity劫持：2011年由SpiderLabs安全小組公布Activity劫持屬于用戶層的安全，程序員無法控制Activity劫持原理如下：用戶安裝帶有Activity劫持功能的惡意程序后，惡意程序遍歷系統(tǒng)中運(yùn)行的程序，當(dāng)檢測(cè)到要劫持的Activity（如網(wǎng)銀或其它程序的登錄頁(yè)面）在前臺(tái)運(yùn)行時(shí)，惡意程序會(huì)啟動(dòng)釣魚式Activity覆蓋正常的Activity，欺騙用戶輸入用戶名或密碼信息。用戶輸入完信息后，惡意程序會(huì)將信息發(fā)送到指定的網(wǎng)址或郵箱，然后切換到正常的Activity。第三層面-程序運(yùn)行時(shí)的安全組件安全-activity實(shí)驗(yàn)7.3Activity劫持HijackActivityHijackActivity可以對(duì)多個(gè)進(jìn)程進(jìn)行劫持，在啟動(dòng)時(shí)創(chuàng)建定時(shí)器，每隔2秒檢測(cè)一次系統(tǒng)正在運(yùn)行的進(jìn)程，判斷前臺(tái)運(yùn)行的進(jìn)程與劫持進(jìn)程列表內(nèi)容是否有匹配項(xiàng)，如果有就對(duì)其進(jìn)行劫持第三層面-程序運(yùn)行時(shí)的安全組件安全-activity實(shí)驗(yàn)7.3Activity劫持實(shí)驗(yàn)步驟：?jiǎn)?dòng)H