百度某SDK设计缺陷导致手机敏感信息泄露(IMEI号和地理位置信息等)

简要描述:

百度某SDK设计缺陷,导致可本地或远程获取手机的敏感信息

详细说明:

0x01 漏洞定位 检测发现手机经常有应用会打开7777端口,并且在任意地址监听,于是便一探究竟。

原来是百度手机助手(当前最新版)。然而直接在apk逆向后的代码中搜索7777或其16进制表示0x1e61却一无所获。最后发现手机助手apk是在运行的时候动态加载的plugin-deploy.dex打开了该端口。根据线索,

发现com.baidu.frontia.FrontiaApplication类对安装包中的plugin.dex解密后动态加载。

安装百度手机助手,对应用目录下的plugin.dex进行分析,该文件实际是一个odex文件,需要按如下步骤转换为dex

code 区域

adb pull /data/data/com.baidu.appsearch/app_push_dex/plugin-deploy.dex

adb pull /system/framework/

java -jar ~/tools/smali/baksmali-2.0.6.jar -d framework -x plugin-deploy.dex

java -jar ~/tools/smali/smali-2.0.6.jar out

最后生成的out.dex就可以使用JEB打开了。 0x02 漏洞分析 简单搜索可发现out.dex打开了7777端口进行监听,会对发往该端口的HTTP请求进行响应,见com.baidu.frontia.module.deeplink下的各类及方法,如图所示。

也就是说,可以通过访问http://IP:7777/command?callback=xyz&...的形式本地或者远程获取手机的敏感信息、或者执行命令。对百度手机助手而言,对应于上图左边红框中的类,实际支持的command包括getapn、getcuid、getNetworkType、getPushServiceVersion,以及LightApi或RuntimeApi类支持的一些命令。 上图右边位于com.baidu.frontia.module.deeplink.a中,反映了SDK可以支持的远程传入的命令以及对这个命令进行处理的类。使用SDK的应用可以根据情况进行配置,例如我们发现许多使用该SDK的应用还支持geolocation命令,可以通过访问http://IP:7777/geolocation?callback=xyz的形式远程获取手机的地理位置信息。下面是另一个使用百度SDK应用(熊猫驾信,当前最新版)支持的命令

与百度手机助手相比,增加了对addDebugDevice、geolocation等command的支持。而且还对HTTP请求的Referer进行了判断。

查了下百度的frontia,介绍见<http://developer.baidu.com/wiki/index.php?title=docs/frontia>,确实是百度的SDK,下载安卓版本的Demo后,按照0x01中的方法生成dex,发现支持geolocation、getcuid和getapn三个命令。 至此,我们可以得出这样的结论,由于百度frontia SDK设计缺陷,导致使用该SDK的应用开放7777端口,本地或者远程攻击者至少可以通过该端口获取手机的地址位置、IMEI、APN等信息,进一步可以通过LightApi或者RuntimeApi执行命令(尚未验证)。由于不同应用对该SDK的配置和使用不同,支持的命令有所不同,危害的表现形式也不同。

漏洞证明:

0x03 漏洞证明 对于百度手机助手: 远程获取手机的IMEI

对于熊猫驾信: 远程获取手机的地理位置信息

上述漏洞也可以本地在127.0.0.1利用,使得本不具备android.permission.READ_PHONE_STATE和android.permission.ACCESS_FINE_LOCATION权限的本地应用读取IMEI和地理位置信息。 利用手机的热点功能,在3G/4G内网内扫描,可以批量获取手机的IMEI和地理位置信息,发现许多主机都打开了7777端口。

扫描一个C段的结果

这样就可以用来追踪某些手机所处的地理位置(需要同时支持geolocation和getcuid接口) 试验中也发现,许多知名不知名的应用均打开7777端口,而且只有一个实例进程运行。当把其中一个打开7777端口的应用卸载后,另外一个使用SDK的应用又会打开7777端口又会继续监听,至少发现百度手机助手、安卓市场、爱奇艺视频、熊猫驾信、百度地图等应用受到影响,漏洞的危害则取决于应用如何使用和配置SDK。

修复方案:

1、不要在任意地址监听7777端口。 2、如果只在本地地址监听,仍然属于一个漏洞,但风险较低,如何修复取决于如何取舍SDK的功能,你们更专业。

原文发布于微信公众号 - 我为Net狂(dotNetCrazy)

原文发表时间:2015-10-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏smartguys

(四):C++分布式实时应用框架——状态中心模块

  版权声明:本文版权及所用技术归属smartguys团队所有,对于抄袭,非经同意转载等行为保留法律追究的权利!

22050
来自专栏java一日一条

如何通过编程发现Java死锁

死锁是指,两个或多个动作一直在等待其他动作完成而使得所有动作都始终处在阻塞的状态。想要在开发阶段检测到死锁是非常困难的,而想要解除死锁往往需要重新启动程序。更糟...

15810
来自专栏全华班

springcloud学习手册-API Gateway (API网关)

导读 | API Gateway (API网关) ? 一、为什么服务之间需要使用API Gateway (API网关)呢? 引用「Chris Richardso...

40360
来自专栏月色的自留地

mac电脑进行可见光通信实验要点

12360
来自专栏月色的自留地

mac电脑进行可见光通信实验要点

21440
来自专栏codingforever

构建高性能服务器 -- 缓存篇

说到缓存,相信大家都不陌生。缓存的目的都在于避免重复的慢速计算,比如数据库访问。相对于慢速计算,缓存将会大大提高数据存取的速率,当然同时将会缩短用户每次请求处理...

17140
来自专栏Python中文社区

如何构建爬虫代理服务?

如何构建爬虫代理服务 专栏作者:Kaito 起因 做过爬虫的人应该都知道,抓的网站和数据多了,如果爬虫抓取速度过快,免不了触发网站的防爬机制,几乎用的同一招就是...

436100
来自专栏腾讯开源的专栏

TarsGo新版本发布,支持protobuf,zipkin和自定义插件

Tars是腾讯从2008年到今天一直在使用的后台逻辑层的统一应用框架,目前支持C++,Java,PHP,Nodejs,Golang语言。该框架为用户提供了涉及到...

27470
来自专栏开源项目

代码生成器:提升程序员的生产力 | 码云周刊第 27 期

代码生成器:提升程序员的生产力 码云项目推荐 1 基于代码生成器的 J2EE 快速开发平台 jeecg ? 项目简介:JEECG(J2EE Code Gener...

42190
来自专栏Spark学习技巧

调试flink源码

本文主要是讲讲flink的源码编译,案例运行,flink源码调试过程。调试flink的源码及案例,需要先clone工程,编一下源码,去掉规范检查,修改工程,最后...

61550

扫码关注云+社区

领取腾讯云代金券