dragonltx_quhe_Attack Android App's Third Library

原晓博

2017/11/14 发布于 技术 分类

本议题介绍针对 Android 第三方库的漏洞攻击和 Fuzz 方法,并围绕开发者应对方案展开讨论。

文字内容
1. • 阿里巴巴移动安全专家 • 内曾发外知现谷名公歌司,漏苹果洞等众多国 • 擅an长drwdoinidd安ow全s安,全漏,洞挖掘 Alipay unLimit Security Team dragonltx About • 支付宝钱包终端攻防对抗组 的负责人 • 客户端技术专家 • 主要移动端逆向、漏洞挖掘、 防护 曲和
2. 1 第三方库安全现状 Agenda 2 攻击Android第三方库 3 Fuzz Android第三方库 4 第三方库安全思考 5 Q&A
3. Part. 01 第三方库安全现状 3
4. 探索⼀切、攻破⼀切 [ Hacker@KCon ]
5. 探索⼀切、攻破⼀切 [ Hacker@KCon ]
6. 探索⼀切、攻破⼀切 [ Hacker@KCon ]
7. Part. 02 攻击Android第三方库 7
8. zxing 二维码解析库 几乎所有App都有扫码功能,攻击范围大 2
9. zxing 2
10. sqlcipher 第三方透明加密数据库组件 sqlcipher编译时没移除load extension sql注入配合load_extension进行漏洞利用
11. sqlcipher
12. 攻击思路最早由TSRC白帽子雪人提出: 存在漏洞的app可以接收文件 黑客可将文件通过目录遍历漏洞放到app私有目录下 通过发消息触发sql注入语句 远程代码执行
13. chromium 国内很多Android浏览器都使用这个内核进行二次开发 最新的Android系统webview使用该引擎 历史漏洞众多(uxss,overflow,use after free,address bar spoof etc.)
14. chromium
15. chromium 530301/531891影响众多国内浏览器
16. chromium 530301/531891影响国内众多Android5.0系统webview/系统自带浏览器
17. stagefright Android多媒体解析库 可通过彩信,视频浏览等进行攻击 许多Android App也会使用stagefright作为多媒体解析库
18. stagefright
19. libupnp 局域网内便捷播放UPnP架构库 开放了UDP 1900端口,可远程攻击 2
20. libupnp 2
21. ffmpeg 采集功能、视频格式转换、视频抓图、给视频加水印等。 越来越多的应用使用ffmpeg库 2
22. ffmpeg 2
23. ffmpeg CVE-2016-6920 0day 2
24. sdk安全 so可被劫持 so自身设计安全 2
25. Part. 03 Fuzz Android第三方库 25
27. 基于文件格式规范 样本大小无限制 Peach 无需基于文件格式规范 代码路径反馈 小样本 Android Fuzz Honggfuzz AFL 无需基于文件格式规范 代码路径反馈 小样本
28. MFFA + Peach Peach MFFA 基于peach pit生成样本 MFFA传输样本到手机 MFFA调起目标并监控崩溃
29. 案例:360影视 fuzz
30. 案例:360影视 fuzz
31. 案例:360影视 fuzz
32. 案例:skia fuzz 9-patch (also known as NinePatch) is an Android-specific extension to the PNG image format that allows for automatic scaling of images
33. 案例:skia fuzz
34. 案例:skia fuzz(CVE-2015-1532 Reproduce)
35. 案例:stagefright fuzz build the module frameworks/av/cmds/stagefright mma push the module /data/local/tmp/ run the module ./stagefright –a ./stagefright -s
36. 案例:stagefright fuzz(CVE-2015-6599)
37. 案例:stagefright fuzz(CVE-2015-6599)
38. AFL + Peach + MFFA linkage • Your text in here • Your text in here Build the android source code AFL • Your text in here • Your text in here Build stagefright with afl Run stagefright with aflfuzz • Your text in here • Your text in here Peach Create sample file based on afl corrupted file Run stagefright with MFFA • Your text in here • Your text in here Advantage More code coverage Based on file specification More efficiency
39. 案例:stagefright fuzz(CVE-2016-0842 Duplicate)
40. 案例:stagefright fuzz(CVE-2016-0842 Duplicate)
41. 案例:stagefright fuzz(CVE-2016-0842 Duplicate)
42. Part. 04 第三方库安全思考 42
43. 使用前查询 存在1个第三方库漏洞库方 便开发查询使用的SDK是否 存在历史漏洞? 使用后扫描 扫描器直接支持第三方库漏 洞扫描?
44. Q&A
45. 我们正在招聘 支付宝钱包移动安全团队(新组建) 逆向、漏洞等 2
46. THANKS