当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0129912

漏洞标题:百度某SDK设计缺陷导致手机敏感信息泄露(IMEI号和地理位置信息等)

相关厂商:百度

漏洞作者: 小荷才露尖尖角

提交时间:2015-07-28 12:38

修复时间:2015-10-27 17:24

公开时间:2015-10-27 17:24

漏洞类型:设计错误/逻辑缺陷

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-28: 细节已通知厂商并且等待厂商处理中
2015-07-29: 厂商已经确认,细节仅向厂商公开
2015-08-01: 细节向第三方安全合作伙伴开放
2015-09-22: 细节向核心白帽子及相关领域专家公开
2015-10-02: 细节向普通白帽子公开
2015-10-12: 细节向实习白帽子公开
2015-10-27: 细节向公众公开

简要描述:

百度某SDK设计缺陷,导致可本地或远程获取手机的敏感信息

详细说明:

0x01 漏洞定位
检测发现手机经常有应用会打开7777端口,并且在任意地址监听,于是便一探究竟。

open7777.png


原来是百度手机助手(当前最新版)。然而直接在apk逆向后的代码中搜索7777或其16进制表示0x1e61却一无所获。最后发现手机助手apk是在运行的时候动态加载的plugin-deploy.dex打开了该端口。根据线索,

clue.png


发现com.baidu.frontia.FrontiaApplication类对安装包中的plugin.dex解密后动态加载。

loadonfly.png


安装百度手机助手,对应用目录下的plugin.dex进行分析,该文件实际是一个odex文件,需要按如下步骤转换为dex

adb pull /data/data/com.baidu.appsearch/app_push_dex/plugin-deploy.dex
adb pull /system/framework/
java -jar ~/tools/smali/baksmali-2.0.6.jar -d framework -x plugin-deploy.dex
java -jar ~/tools/smali/smali-2.0.6.jar out


最后生成的out.dex就可以使用JEB打开了。
0x02 漏洞分析
简单搜索可发现out.dex打开了7777端口进行监听,会对发往该端口的HTTP请求进行响应,见com.baidu.frontia.module.deeplink下的各类及方法,如图所示。

1.jpg


也就是说,可以通过访问http://IP:7777/command?callback=xyz&...的形式本地或者远程获取手机的敏感信息、或者执行命令。
对百度手机助手而言,对应于上图左边红框中的类,实际支持的command包括

mask 区域
*****rkType、getPu*****

,以及LightApi或RuntimeApi类支持的一些命令。
上图右边位于com.baidu.frontia.module.deeplink.a中,反映了SDK可以支持的远程传入的命令以及对这个命令进行处理的类。使用SDK的应用可以根据情况进行配置,例如我们发现许多使用该SDK的应用还支持geolocation命令,可以通过访问 http://IP:7777/geo***?callback=xyz 的形式远程获取手机的地理位置信息。下面是另一个使用百度SDK应用(熊猫驾信,当前最新版)支持的命令

2.png


与百度手机助手相比,增加了对

mask 区域
*****e、geo*****

等command的支持。而且还对HTTP请求的Referer进行了判断。

pandaref.png


查了下百度的frontia,介绍见<http://developer.baidu.com/wiki/index.php?title=docs/frontia>,确实是百度的SDK,下载安卓版本的Demo后,按照0x01中的方法生成dex,发现支持geolocation、getcuid和getapn三个命令。
至此,我们可以得出这样的结论,由于百度frontia SDK设计缺陷,导致使用该SDK的应用开放7777端口,本地或者远程攻击者至少可以通过该端口获取手机的地址位置、IMEI、APN等信息,进一步可以通过LightApi或者RuntimeApi执行命令(尚未验证)。由于不同应用对该SDK的配置和使用不同,支持的命令有所不同,危害的表现形式也不同。

漏洞证明:

0x03 漏洞证明
对于百度手机助手:
远程获取手机的IMEI

reverseIMEI.png


对于熊猫驾信:
远程获取手机的地理位置信息

geo.png


上述漏洞也可以本地在127.0.0.1利用,使得本不具备android.permission.READ_PHONE_STATE和android.permission.ACCESS_FINE_LOCATION权限的本地应用读取IMEI和地理位置信息。
利用手机的热点功能,在3G/4G内网内扫描,可以批量获取手机的IMEI和地理位置信息,发现许多主机都打开了7777端口。

scan.png


扫描一个C段的结果

result.png


这样就可以用来追踪某些手机所处的地理位置(需要同时支持geolocation和getcuid接口)
试验中也发现,许多知名不知名的应用均打开7777端口,而且只有一个实例进程运行。当把其中一个打开7777端口的应用卸载后,另外一个使用SDK的应用又会打开7777端口又会继续监听,至少发现百度手机助手、安卓市场、爱奇艺视频、熊猫驾信、百度地图等应用受到影响,漏洞的危害则取决于应用如何使用和配置SDK。

修复方案:

1、不要在任意地址监听7777端口。
2、如果只在本地地址监听,仍然属于一个漏洞,但风险较低,如何修复取决于如何取舍SDK的功能,你们更专业。

版权声明:转载请注明来源 小荷才露尖尖角@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-07-29 17:23

厂商回复:

感谢提交

最新状态:

暂无


漏洞评价:

评论

  1. 2015-07-28 13:46 | 瘦蛟舞 认证白帽子 ( 核心白帽子 | Rank:765 漏洞数:83 | 铁甲依然在)

  2. 2015-07-28 13:57 | Nicky ( 普通白帽子 | Rank:493 漏洞数:71 | http://www.droidsec.cn 安卓安全中文站)

  3. 2015-07-28 13:59 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @小荷才露尖尖角 android牛又出大做了

  4. 2015-07-28 19:15 | Qin_kinsey ( 路人 | Rank:4 漏洞数:3 | 膜拜各路大神)

    膜拜大牛~

  5. 2015-07-28 19:16 | scanf ( 核心白帽子 | Rank:1307 漏洞数:190 | 。)

    大牛又出来了

  6. 2015-07-28 23:31 | Chora ( 普通白帽子 | Rank:337 漏洞数:22 | 生存、生活、生命。)

    顶顶咱组里的安卓牛。

  7. 2015-08-06 22:03 | theone ( 路人 | Rank:23 漏洞数:3 | hodor,hodor)

    android牛又出大做了

  8. 2015-10-27 17:34 | 土夫子 ( 普通白帽子 | Rank:225 漏洞数:47 | 自由)

    屌的不要不要的,安卓界一哥啊

  9. 2015-10-27 17:39 | Nicky ( 普通白帽子 | Rank:493 漏洞数:71 | http://www.droidsec.cn 安卓安全中文站)

    @Chora @小荷才露尖尖角 原来小荷是在智盟启明?

  10. 2015-10-27 17:58 | Chora ( 普通白帽子 | Rank:337 漏洞数:22 | 生存、生活、生命。)

    @Nicky 没我在安卓牛组里。

  11. 2015-10-27 19:30 | 老实先生 ( 路人 | Rank:17 漏洞数:8 | 只会注不会shell)

    你为什么这么牛???????????????

  12. 2015-10-27 23:08 | only_admin ( 路人 | Rank:11 漏洞数:5 | ~~~~我只是个孩子╭(°A°`)╮~~~~)

    @小荷才露尖尖角 请问一下Android怎么使用python的

  13. 2015-10-28 01:12 | 小手冰凉 ( 普通白帽子 | Rank:178 漏洞数:19 | 幸福你我他)

    厉害 洞主用的这套工具是?@小荷才露尖尖角

  14. 2015-10-28 09:25 | 坏男孩-A_A ( 路人 | Rank:8 漏洞数:3 | 菜鸟一枚)

    前来膜拜*_*

  15. 2015-10-28 09:27 | 爱捣蛋的鬼 ( 路人 | Rank:19 漏洞数:3 | 爱捣蛋的鬼)

    膜拜

  16. 2015-10-28 15:07 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    简直就是后门

  17. 2015-10-28 21:47 | Sai、 ( 路人 | Rank:4 漏洞数:1 | 菜菜菜菜鸟……)

    android牛求交流

  18. 2015-10-29 12:42 | GrayTrack ( 实习白帽子 | Rank:83 漏洞数:16 | TXTSEC信息安全团队)

    如果能够获取到用户手机号,就能实现定位找人的功能啦,洞主发了