Android系统服务即由Android提供的各种服务,比如WIFI,多媒体,短信等等,几乎所有的Android应用都要使用到系统服务。系统服务在为用户提供便利的同时,也存在着一些风险。比如,如果一个应用获取到了系统服务中的短信服务,那么他就可能会查看用户的短信信息,用户隐私就有可能暴露。此外,如果在使用系统服务的过程中,使用了异常的外部数据,有可能会导致系统服务崩溃,甚至是远程代码执行,内存破坏等等严重后果。因此Android系统服务的安全问题需要重视。
在以前的工作发现主要的漏洞和攻击主要包括特权提升攻击,恶意软件攻击,重打包,组件劫持攻击等类型。尽管安全研究人员已经针对Android上层app的漏洞挖掘做了大量的工作,但是针对Android系统服务的漏洞挖掘一直被安全人员所普遍忽视。
通过Binder机制可以对Android的系统服务漏洞进行深入的挖掘。本文基于Android的Binder机制编写了一套漏洞挖掘框架。
下面我们首先介绍一下先验知识。
1 基础知识1.1 Android的Binder机制
1.1.1 Binder概述
Binder其实也不是Android提出来的一套新的进程间通信机制,它是基于OpenBinder来实现的。Binder是一种进程间通信机制,它是一种类似于COM和CORBA分布式组件架构,是提供远程过程调用(RPC)功能。
什么是Binder
直观来说,Binder是Android中的一个类,它继承了IBinder接口 从IPC角度来说,Binder是Android中的一种跨进程通信方式,Binder还可以理解为一种虚拟的物理设备,它的设备驱动是/dev/binder,该通信方式在Linux中没有 从Android Framework角度来说,Binder是ServiceManager连接各种Manager(ActivityManager、WindowManager,etc)和相应ManagerService的桥梁 从Android应用层来说,Binder是客户端和服务端进行通信的媒介,当你bindService的时候,服务端会返回一个包含了服务端业务调用的Binder对象,通过这个Binder对象,客户端就可以获取服务端提供的服务或者数据,这里的服务包括普通服务和基于AIDL的服务
在Android系统的Binder机制中,由一系统组件组成,分别是Client、Server、Service Manager和Binder驱动程序,其中Client、Server和Service Manager运行在用户空间,Binder驱动程序运行内核空间,如图1-1所示。Binder就是一种把这四个组件粘合在一起的粘结剂,其中核心组件便是Binder驱动程序了,Service Manager提供了辅助管理的功能,Client和Server正是在Binder驱动和Service Manager提供的基础设施上,进行Client-Server之间的通信。Service Manager和Binder驱动已经在Android平台中实现好,开发者只要按照规范实现自己的Client和Server组件就可以了。
这里写图片描述
图1-1 Binder架构图
1.1.2 为什么使用Binder
Android中有大量的CS(Client-Server)应用方式,这就要求Android内部提供IPC *** ,而linux所支持的进程通信方式有两个问题:性能和安全性。
目前linux支持的IPC包括传统的管道,System V IPC(消息队列/共享内存/信号量),以及socket,但只有socket支持Client-Server的通信方式,由于socket是一套通用的 *** 通信方式,其传输效率低下切有很大的开销,比如socket的连接建立过程和中断连接过程都是有一定开销的。消息队列和管道采用存储-转发方式,即数据先从发送方缓存区拷贝到内核开辟的缓存区中,然后再从内核缓存区拷贝到接收方缓存区,至少有两次拷贝过程。共享内存虽然无需拷贝,但控制复杂,难以使用。
在安全性方面,Android作为一个开放式,拥有众多开发者的的平台,应用程序的来源广泛,确保智能终端的安全是非常重要的。终端用户不希望从网上下载的程序在不知情的情况下偷窥隐私数据,连接无线 *** ,长期操作底层设备导致电池很快耗尽等等。传统IPC没有任何安全措施,完全依赖上层协议来确保。首先传统IPC的接收方无法获得对方进程可靠的UID/PID(用户ID/进程ID),从而无法鉴别对方身份。Android为每个安装好的应用程序分配了自己的UID,故进程的UID是鉴别进程身份的重要标志。使用传统IPC只能由用户在数据包里填入UID/PID,但这样不可靠,容易被恶意程序利用。可靠的身份标记只有由IPC机制本身在内核中添加。其次传统IPC访问接入点是开放的,无法建立私有通道。比如命名管道的名称,system V的键值,socket的ip地址或文件名都是开放的,只要知道这些接入点的程序都可以和对端建立连接,不管怎样都无法阻止恶意程序通过猜测接收方地址获得连接。
总监炮轰CEO欺凌员工?易到回应逼磕头 甚至连磕了7个头详情始末易到回应逼磕头 背后原因及详情始末令网友炸锅11月16日上午消息,针对网传易到政府事务总监吕艺炮轰CEO巩振兵欺凌员工一事,易到方面回应...
中新网南京2月28日电 (通讯员 颜军海)据南京侨办消息,近日,2012下半年南京“321引进计划”和2012年“321培养计划”人选近日敲定,517人入选,其中海归比例超过75%。入选者将获得南京市...
从被广泛接受的黑客准则上讲,黑客是不犯法的。黑客是一个道德范畴的问题,受道德约束。黑客是电脑方面的另类天才,他们总是能从更宽阔的角度看技术问题。 要看具体的情形,无法一概而论。“黑客”行为本身,不一...
一个人如何查询开宾馆记录(如何查另一方开酒店查询记录)这一法律法规沒有明文规定,假如你能获得快捷酒店的信赖(你能拿着结婚证书身份证件)相信快捷酒店会相互配合的,假如在这类状况下快捷酒店是免除责任的。但...
编辑导读:作为低频东西产物,用户粘性低、留存也不高,冷启动是一个困难。本文作者依据产物冷启动进程中的详细实践和思考,对低频东西产物冷启动背后的运营计策和详细步调展开了梳理阐明,供各人参考进修。 前几...
北京市美少妇伴游,伴游模特上门服务【尤融】 今日给大伙儿共享的內容是“北京市美少妇伴游,伴游模特上门服务【尤融】”,我是尤融,来源于乌兰察布盟,2020年二十五岁,做为岗位:别的,我喜爱我的岗位:别的...