百度某SDK设计缺陷导致手机敏感信息泄露(IMEI号和地理位置信息等)
简要描述:
百度某SDK设计缺陷,导致可本地或远程获取手机的敏感信息
详细说明:
0x01 漏洞定位 检测发现手机经常有应用会打开7777端口,并且在任意地址监听,于是便一探究竟。
原来是百度手机助手(当前最新版)。然而直接在apk逆向后的代码中搜索7777或其16进制表示0x1e61却一无所获。最后发现手机助手apk是在运行的时候动态加载的plugin-deploy.dex打开了该端口。根据线索,
发现com.baidu.frontia.FrontiaApplication类对安装包中的plugin.dex解密后动态加载。
安装百度手机助手,对应用目录下的plugin.dex进行分析,该文件实际是一个odex文件,需要按如下步骤转换为dex
code 区域
adb pull /data/data/com.baidu.appsearch/app_push_dex/plugin-deploy.dex
adb pull /system/framework/
java -jar ~/tools/smali/baksmali-2.0.6.jar -d framework -x plugin-deploy.dex
java -jar ~/tools/smali/smali-2.0.6.jar out
最后生成的out.dex就可以使用JEB打开了。 0x02 漏洞分析 简单搜索可发现out.dex打开了7777端口进行监听,会对发往该端口的HTTP请求进行响应,见com.baidu.frontia.module.deeplink下的各类及方法,如图所示。
也就是说,可以通过访问http://IP:7777/command?callback=xyz&...的形式本地或者远程获取手机的敏感信息、或者执行命令。对百度手机助手而言,对应于上图左边红框中的类,实际支持的command包括getapn、getcuid、getNetworkType、getPushServiceVersion,以及LightApi或RuntimeApi类支持的一些命令。 上图右边位于com.baidu.frontia.module.deeplink.a中,反映了SDK可以支持的远程传入的命令以及对这个命令进行处理的类。使用SDK的应用可以根据情况进行配置,例如我们发现许多使用该SDK的应用还支持geolocation命令,可以通过访问http://IP:7777/geolocation?callback=xyz的形式远程获取手机的地理位置信息。下面是另一个使用百度SDK应用(熊猫驾信,当前最新版)支持的命令
与百度手机助手相比,增加了对addDebugDevice、geolocation等command的支持。而且还对HTTP请求的Referer进行了判断。
查了下百度的frontia,介绍见<http://developer.baidu.com/wiki/index.php?title=docs/frontia>,确实是百度的SDK,下载安卓版本的Demo后,按照0x01中的方法生成dex,发现支持geolocation、getcuid和getapn三个命令。 至此,我们可以得出这样的结论,由于百度frontia SDK设计缺陷,导致使用该SDK的应用开放7777端口,本地或者远程攻击者至少可以通过该端口获取手机的地址位置、IMEI、APN等信息,进一步可以通过LightApi或者RuntimeApi执行命令(尚未验证)。由于不同应用对该SDK的配置和使用不同,支持的命令有所不同,危害的表现形式也不同。
漏洞证明:
0x03 漏洞证明 对于百度手机助手: 远程获取手机的IMEI
对于熊猫驾信: 远程获取手机的地理位置信息
上述漏洞也可以本地在127.0.0.1利用,使得本不具备android.permission.READ_PHONE_STATE和android.permission.ACCESS_FINE_LOCATION权限的本地应用读取IMEI和地理位置信息。 利用手机的热点功能,在3G/4G内网内扫描,可以批量获取手机的IMEI和地理位置信息,发现许多主机都打开了7777端口。
扫描一个C段的结果
这样就可以用来追踪某些手机所处的地理位置(需要同时支持geolocation和getcuid接口) 试验中也发现,许多知名不知名的应用均打开7777端口,而且只有一个实例进程运行。当把其中一个打开7777端口的应用卸载后,另外一个使用SDK的应用又会打开7777端口又会继续监听,至少发现百度手机助手、安卓市场、爱奇艺视频、熊猫驾信、百度地图等应用受到影响,漏洞的危害则取决于应用如何使用和配置SDK。
修复方案:
1、不要在任意地址监听7777端口。 2、如果只在本地地址监听,仍然属于一个漏洞,但风险较低,如何修复取决于如何取舍SDK的功能,你们更专业。
- 实力终端撑腰 两枚域名均五位数被秒
- Silverlight制作逐帧动画 v2 - part2
- Nodejs学习笔记(四)--- 与MySQL交互(felixge/node-mysql)
- 学习Spark——环境搭建(Mac版)
- 离线网络环境下一键式部署
- WCF后续之旅(17):通过tcpTracer进行消息的路由
- Linux同步机制(一) - 线程锁
- Silverlight类库介绍-FJCore
- 大型网站的自强之路
- 人工智能:浮现
- 机器人进化 如何确保 安全概率?
- Nodejs学习笔记(七)--- Node.js + Express 构建网站简单示例
- 如何写出好代码
- Nodejs学习笔记(十五)--- Node.js + Koa2 构建网站简单示例
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- PHP的CLI命令行运行模式浅析
- 基于Pytorch构建三值化网络TWN
- 从零学Paddle系列-1 Paddle框架CNN相关API详解
- 智能搜索模型预估框架的建设与实践
- 1,Jupyter NoteBook 常用魔法命令
- 60行代码徒手实现深度神经网络
- 30行代码徒手实现logistic回归
- 8,模型的训练
- 在腾讯云上部署科学计算软件Amber
- 手把手教你搭建一个灰度发布环境
- Kibana: 如何使用 Search Bar
- 「PHP」以nginx、php-cgi为例,把nginx、php-cgi安装为Windows系统服务
- 聊聊dubbo-go的GenericFilter
- 知新 | koa框架入门到熟练第二章
- JVM学习二