APP漏洞扫描器之本地拒绝服务检测详解

#APP漏洞扫描器之本地拒绝服务检测详解

阿里聚安全的Android应用漏洞扫描器有一个检测项是本地拒绝服务漏洞的检测，采用的是静态分析加动态模糊测试的方法来检测，检测结果准确全面。本文将讲一下应用漏洞扫描器在针对本地拒绝服务的检测方法。

##1、本地拒绝服务产生缘由和影响

Android应用使用Intent机制在组件之间传递数据，若是应用在使用getIntent()，getAction()，Intent.getXXXExtra()获取到空数据、异常或者畸形数据时没有进行异常捕获，应用就会发生Crash，应用不可以使用（本地拒绝服务）。恶意应用可经过向受害者应用发送此类空数据、异常或者畸形数据从而使应用产生本地拒绝服务。

阿里聚安全的博客之前有一篇文章《Android应用本地拒绝服务漏洞浅析》，里面详细讲了产生本地拒绝服务的四种状况：

1. NullPointerException空数据异常：应用程序没有对getAction()等获取到的数据进行空指针判断，从而致使空指针异常而致使应用崩溃。
2. ClassCastException类型转换异常：程序没有对getSerializableExtra()等获取到的数据进行类型判断而进行强制类型转换，从而致使类型转换异常而致使应用崩溃。
3. IndexOutOfBoundsException数组越界异常：程序没有对getIntegerArrayListExtra()等获取到的数据数组元素大小的判断，从而致使数组访问越界而致使应用崩溃。
4. ClassNotFoundException异常：程序没有没法找到从getSerializableExtra ()获取到的序列化类对象的类定义，所以发生类未定义的异常而致使应用崩溃。

当应用被恶意应用攻击时，本地拒绝服务通常会致使正在运行的应用崩溃，首先影响用户体验，其次影响到后台的Crash统计数据，另外比较严重的后果是应用若是是系统级的软件，可能致使手机重启。Nexus 5曾经出现过这样的状况，它预装了一个用来测试网络连通性的系统应用，这个应用是隐藏状态，没法在桌面上打开，包名为com.lge.SprintHiddenMenu。在Android 4.4.3以前的版本里，这个应用里有大量导出的activity，这些 activity不须要任何权限就能够被外部调用。其中一个为com.lge.SprintHiddenMenu.sprintspec.SCRTN的组件是导出的，而且没有任何权限限制，给它发送一个空Intent，可致使Nexus 5手机重启。

##2、阿里聚安全扫描器的进化提高

一个简单的本地拒绝服务类漏洞，要想进行大规模的自动化扫描，扫描器也要作很多的工做，而且随着对本地拒绝服务漏洞的认识，阿里聚安全的漏洞扫描器也在不断进行优化提升。

####2.1 空Intent阶段

这个阶段的扫描器是初级阶段，通常只是经过AndroidManifest.xml文件获取应用导出的组件，而后使用adb命令发送空intent给导出组件，捕获应用日志输出，查看是否有崩溃产生。

针对空Intent致使的本地拒绝服务状况可发送以下命令测试：

adb shell am start -n com.jaq.dosappsample/.DosActivity 
adb shell am startservice -n com.jaq.dosappsample/.DosService 
adb shell am broadcast -n com.jaq.dosappsample/.DosReceiver

何为导出的组件？

在AndroidManifest.xml文件中若是应用的组件android:exported属性显式指定为“true”，或者并无显式指定为“true”也没有显式指定为“false”，什么也没有写，可是有intent-filter并指定了相应的Action，则此组件为导出的组件。

####2.2 解析Key值阶段

空Intent致使的拒绝服务毕竟只是一部分，还有类型转换异常、数组越界异常等致使的本地拒绝服务。在解析Key值阶段扫描器须要分析组件代码中是否使用了一些关键函数。

在Activity组件中的onCreate()方法中，Service组件中的onBind()和onStartCommand()方法中，BroadcastReceiver组件的onReceive()方法中，若是组件没有作好权限控制，均可接受任意外部应用传过来的Intent，经过查找getIntent()、getAction()和getXXExtra()这些关键函数，检测其是否有try catch异常保护，若是没有则会有本地拒绝服务风险。

在这一阶段扫描器遇到的挑战是找到这些关键函数中的Key值，Action值，不只要找到，还要找到key对应的类型，来组装adb命令，发送命令给安装好的应用进行测试。

####2.3 通用型拒绝服务阶段

2015年年初的时候，业界又爆出了通用型拒绝服务，因为应用中使用了getSerializableExtra() 的API，应用开发者没有对传入的数据作异常判断，恶意应用能够经过传入序列化数据，致使应用本地拒绝服务。此种方法传入的key值不论是否与漏洞应用相同，都会抛出类未定义的异常，相比解析Key值阶段通用性大大获得了提升。

针对这个经常使用的手工检测POC代码以下：

此阶段扫描器遇到的难题是没法直接经过adb命令进行测试，由于没法用adb命令传递序列化对象给应用。业界大部分漏洞扫描器也由于没法发送序列化对象给应用都止步解析Key值组装adb命令阶段，而阿里聚安全的漏洞扫描器可以发送序列化对象数据给指定的应用，再结合静态分析查找导出的组件和关键函数，动态运行应用，精确识别出会发生本地拒绝服务的应用组件，同时实现了大规模自动化测试。

####2.4 动态注册BroadcastReceiver阶段

BroadcastReceiver组件通常分为两种，一种是静态注册，提早在AndroidManifest.xml声明组件；另一种是动态注册，在代码中使用registerReceiver()方法注册BroadcastReceiver，只有当registerReceiver()的代码执行到了才进行注册。

动态注册BroadcastReceiver的常见使用方法以下：

不少开发者没有意识到，如上使用registerReceiver()方法注册的是全局BroadcastReceiver，和静态注册BroadcastReceiver android:exported属性为true性质同样，若是没有指定权限访问控制（permission参数），能够被任意外部应用访问，向其传递Intent，根据具体状况产生的危害可能不一样，一种比较广泛的状况是容易产生本地拒绝服务漏洞。

动态注册BroadcastReceiver致使导出的Receiver这种状况很是少被你们注意，现有的一些安全检测工具、扫描器都不能发现动态注册的BroadcastReceiver。在此阶段，动态注册BroadcastReceiver隐藏在全部代码中，在应用的任何地方均可能出现，须要扫描器全局分析应用的代码找出关键函数registerReceiver，还要找出其IntentFilter所设置的Action和Receiver的权限设置，如今通常一个普通的正常Android应用都有几十M的大小，反编译成smali代码会更多，扫描器遇到的挑战主要是查找的时间和空间挑战，还有多个参数查找的准确性。目前业界只有阿里聚安全的扫描器有准确扫描动态注册BroadcastReceiver致使的本地拒绝服务的能力。

经过阿里聚安全的漏洞扫描器对一些样本进行了检测，也发现了很多动态注册BroadcastReceiver致使的本地拒绝服务攻击。

##3、本地拒绝服务漏洞现状

为了了解本地拒绝服务漏洞的现状，阿里聚安全的应用漏洞扫描器针对国内外的各行业主要APP进行了扫描，共扫描了三百多款APP。

国内行业主要是经过采集国内某应用市场的APP，咱们采集了各个行业的TOP APP总共有151个，发现拒绝服务漏洞的总个数为970个，平均个数为6.4个，其中影音播放类的APP本地拒绝服务个数最多，健康类安全类和运营商类比较少、游戏类的最少。

国内行业APP本地拒绝服务漏洞状况：

柱状图是国内各个行业APP按本地拒绝服务漏洞平均个数排序：

下图是各个组件引发的本地拒绝服务的数量、占比状况：

国内行业动态注册BroadcastReceiver致使的本地拒绝服务漏洞有247个，约占拒绝服务漏洞总数的25%，比静态注册BroadcastReceiver的要多很多：

国外行业主要是经过采集Google Play上的APP，咱们也采集了各个行业的TOP APP总共有177个，发现拒绝服务漏洞的总个数是649个，平均漏洞个数为3.7个，平均漏洞个数最多的是办公类应用，最少的和国内行业同样是游戏。

国外行业APP本地拒绝服务漏洞状况：

国外各个行业的应用本地拒绝服务漏洞平均个数排序：

各个组件引发的本地拒绝服务的数量、占比状况：

国外行业动态注册BroadcastReceiver致使的本地拒绝服务漏洞有147个，约占拒绝服务漏洞总数的23%，比国内的状况略少，可见动态注册BroadcastReceiver致使的本地拒绝服务都没有引发你们的重视。

整体上来看，本地拒绝服务风险由于具备Android版本无关性，漏洞自己对APP影响也不大，只与应用开发者是否注意、重视有关，因此如今还常常在应用中出现。在各大厂商的安全应急响应中心评级为低危漏洞，也有厂商不收此类漏洞，可是这些攻击面依然存在，若是深刻分析这些组件，有的不只仅是引起本地拒绝服务风险，必须遵循最小权限原则，没有必要导出的组件不要导出。

##4、阿里聚安全对开发者建议

（1）阿里聚安全的漏洞扫描器已经具有覆盖动态注册Receiver产生的拒绝服务漏洞（目前，还没发现友商的漏洞扫描器有这样的能力），使用阿里聚安全的漏洞扫描器进行扫描，可及时发现这些漏洞。

（2）没必要要导出的组件将其exported属性显式的设为“false”，这样能够减小应用的攻击面。

（3）导出的组件在getIntent()后，Intent.getXXXExtra()时用try…catch作好异常处理。

（4）在导出的组件设置好权限控制，不让任意第三方应用访问。

（5）对于动态注册的BroadcastReceiver，尽可能少用registerReceiver()方法，若是只在本应用内通讯，改用LocalBroadcastManager的registerReceiver()进行本地注册，若是必须导出给外部应用，在使用registerReceiver()时要指定好相应的访问权限。

##5、参考

一、Android APP通用型拒绝服务漏洞分析报告，http://blogs.360.cn/blog/android-app%E9%80%9A%E7%94%A8%E5%9E%8B%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E6%8A%A5%E5%91%8A/

二、 Android应用本地拒绝服务漏洞浅析，https://jaq.alibaba.com/blog.htm?id=55

三、https://developer.android.com/guide/components/activities.html

四、https://developer.android.com/guide/components/services.html

五、https://developer.android.com/reference/android/content/Context.html

六、https://labs.mwrinfosecurity.com/advisories/2014/11/05/nexus-5-4-4-2-local-dos/

####做者：伊樵@阿里聚安全，更多Android、iOS安全文章,请访问**阿里聚安全官网**