先来看一个情景案例,某IT男一直暗恋部门某女神,一天女神手机太卡了找IT男帮助清理手机空间,IT男高兴地答应女神两分钟搞定,屁颠屁颠的跑到自己电脑旁边连上手机,女神在一边呆呆的看着IT男敲了几行代码然后在手机上点了几下,最后果然两分钟不到就搞定了,在女神谢着离开后,IT男露出了WS的笑容。
没错,他成功了盗到了女神的微博帐号,终于不用问同事女神的微博帐号是多少了~当然这不是结局,一天晚上睡觉时,他看了女神的微博私信后心突然碎了。
到底发生了什么,这背后有啥不可告人的秘密?且看本文详细分析。
漏洞背景
在谷歌2010年发布Android 2.2 Froyo (冻酸奶)系统中,谷歌引入一个了系统备份的功能,允许用户备份系统应用和第三方应用的apk安装包和应用数据,以便在刷机或者数据丢失后恢复应用。 第三方应用开发者需要在应用的AndroidManifest.xml文件中配置allowBackup标志(默认为true)来设置应用数据是否能能够被备份或恢复。
当这个标志被设置为true时应用程序数据可以在手机未获取ROOT的情况下通过adb调试工具来备份和恢复,这就允许恶意攻击者在接触用户手机的情况下在短时间内启动手机USB调试功能来窃取那些能够受到AllowBackup漏洞影响的应用的数据,造成用户隐私泄露甚至财产损失。
使用反编绎工具JEB查看weibo客户端manifest配置:
[img]http://dl2.iteye.com/upload/attachment/0110/5738/0bbd20f0-c799-3c91-a53d-3fafa25b32be.jpg[/img]
在之前的案例正是因为新浪微博安卓客户端(最新版)AndroidManifest.xml并没有配置android:allowBackup=“false”,导致女神手机中的微博客户端数据可以在短时间内通过ADB调试备份到电脑中最后恢复到IT男手机,然后IT男以后每天就可以用女神的帐号看女神发了啥微博和私信内容。
当然可利用的场景当然不止于此,想想,如果存在漏洞的是你的团购应用呢(看看有啥团购券我先来用吧),当然还有你的网盘应用(说不定可以看女神的私密照~),哦,对了连通讯录,社交和理财应用也不能放过(女神们还敢把手机给IT男清理不)。。。
检测方法
(1)手工检测
测试环境:
1.Windows 7,ADB调试工具
2.物理接触目标手机1,连接手机1到PC端
3.手机1和手机2均未被ROOT,开启USB调试
4.不用安装其它应用,不启动被测试的应用
测试流程:
1.连接安装开启USB调试手机1 到PC端
2.在PC自动(也可以提前)安装好手机驱动后
3.启动命令行界面输入以下命令:
adb devices
#显示已连接的设备列表,测试手机是否正常连接
adb backup -nosystem -noshared -apk -f com.sina.weibo.ab com.sina.weibo
#-nosystem表示不备份系统应用 -noshared表示不备份应用存储在SD中的数据 -apk表示备份应用APK安装包 -f 表示备份的.ab文件路径和文件名 最后是要备份应用的packageName4.点击手机1确认备份界面的“备份我的数据”
5.等待备份完成,至此微博客户端数据成功备份为com.sina.weibo.ab文件
6.断开手机1的连接,可以把手机还给女神啦
7. 连接手机2 ,在命令行界面下输入以下命令:
adb kill-server #关闭ADB
adb devices #重新启动ADB,检测手机2是否成功连接
adb restore com.sina.weibo.ab8.点击手机2确认恢复界面的“恢复我的数据”
9.等待恢复完成
10.打开手机2中新安装的微博客户端,测试可正常登录手机1中帐号执行各种操作,且长期有效。
影响范围
目前测试了手上一台安装有Android 4.1.1系统的魅族MX2手机和安装有Android 4.4.2系统的魅族MX4手机均测试成功,理论上影响Android 2.2-Android 4.4系统中存在风险的应用。
建议评级:
尽管此漏洞的利用条件较高,需要物理接触,但此漏洞对涉及用户财产与隐私类的APP来说杀伤力较大,建议厂商视情况修复。
1.金融类APP 高危
2.支付类APP 高危
3.团购类APP 中危
4.社交类APP 中危
5.网盘类APP 中危
6.其它类APP 低危/无影响
修复方案
开发者如要避免应用数据泄露的风险,应当在设置AndroidManifest.xml文件中配置android:allowBackup=“false”,此时应用程序数据无法被备份和恢复。或者在应用启动时检测手机硬件和网络环境是否改变,如果存在异常则强制退出或重新登录。