0x00 序言

在3月底时，大家汇报了一款手机端浏览器中存有下载并运作未认证编码的潜在性系统漏洞。今日大家将深入分析系统漏洞诱因及其 *** 黑客运用该系统漏洞的实际 *** 。

大家想要知道此浏览器是不是存有出现异常个人行为，事实上确实如此。该运用会下载并运作可实行编码，这违反了Google Play的运用公布对策。浏览器不但下载可实行编码，全部全过程也会被用以MitM（中介人）进攻。下面大家看一下是不是能够根据这类拒绝服务攻击运用该运用。

文中科学研究的浏览器下载自Google Play，版本号信息以下：

package: com.UCMobile.intl

versionName: 12.10.8.1172

versionCode: 10598

sha1 APK-file: f5edb2243413c777172f6362876041eb0c3a928c

0x01 进攻空间向量

浏览器的manifest文档中包括名叫com.uc.deployment.UpgradeDeployService的一个服务项目：

service android:exported="false" android:name="com.uc.deployment.UpgradeDeployService" android:process=":deploy" />

当该服务项目启动，浏览器会向puds.ucweb.com/upgrade/index.xhtml推送请求，我们可以在运用运行后某一時刻观查到相对总流量。在回应数据信息中，浏览器很有可能会接到下载升级或是下载新控制模块的命令。在剖析全过程中，大家从没从服务端接到过这种指令，但大家注意到一点，当客户试着在浏览器中开启PDF文档时，浏览器会向该详细地址推送请求，随后下载一个原生态（native）库。为了更好地仿真模拟攻击性行为，我们决定应用浏览器的这一作用：应用原生态库来开启PDF文档，这一原生态库并沒有在APK文档中，只是下载自互联网技术。从技术性视角上而言，只需对启动推送的请求回到恰当的回应，浏览器就可以在没经客户受权状况下下载一些数据信息。为了更好地检测这一猜测，大家必须更为详尽科学研究与服务端的互动协议书，大家觉得能够hook并改动回应数据信息，将开启PDF文档需要的原生态库更换为别的库，那样实际操作起來会更为简易。

当客户想根据浏览器立即开启一个PDF文档，我们可以见到包括以下请求的通讯数据信息：

更先，运用会向puds.ucweb.com/upgrade/index.xhtml推送一个POST请求，随后下载历经缩小的一个库，该库能够查询PDF文档及其Office文本文档。从逻辑性上讲，我们可以假定之一个请求推送的是有关系统软件的一些信息（最少包括构架信息，由于服务端必须挑选搭配的库），随后服务端会回到待下载库的一些信息，例如下载详细地址等。这儿难题取决于该请求历经数据加密解决。

程序库为ZIP压缩包，沒有数据加密。

0x02 搜索通讯破译编码

使我们尝试破译服务端回应。剖析com.uc.deployment.UpgradeDeployService类的编码，从onStartCommand方式逐渐，大家先后导航栏到com.uc.deployment.b.x及其com.uc.browser.core.d.c.f.e：

public final void e(l arg9){

int v4_5;

String v3_1;

byte[]v3;

byte[]v1=null;

if(arg9==null){

v3=v1;

}

else{

v3_1=arg9.iGX.ipR;

StringBuilder v4=new StringBuilder("[");

v4.append(v3_1);

v4.append("]product:");

v4.append(arg9.iGX.ipR);

v4=new StringBuilder("[");

v4.append(v3_1);

v4.append("]version:");

v4.append(arg9.iGX.iEn);

v4=new StringBuilder("[");

v4.append(v3_1);

v4.append("]upgrade_type:");

v4.append(arg9.iGX.mMode);

v4=new StringBuilder("[");

v4.append(v3_1);

v4.append("]force_flag:");