TaintDroid剖析之IPC级污点传播

TaintDroid剖析之IPC级污点传播

作者：简行、走位@阿里聚安全

---

前言

在前三篇文章中我们详细分析了TaintDroid对DVM栈帧的修改，以及它是如何在修改之后的栈帧中实现DVM变量级污点跟踪、Native方法级跟踪。本篇文章我们来分析下IPC级污点传播。

TaintDroid深入剖析系列目录：

TaintDroid深入剖析之启动篇

TaintDroid剖析之DVM变量级污点跟踪(下篇)

TaintDroid剖析之Native方法级污点跟踪分析

具体实现

这里我以情景为上下进行跟进，每个情景会涉及多个源文件，它们之间的逻辑是互相完整和独立的。

Java层Taint的传播是通过类Taint（libcore/dalvik/src/main/java/dalvik/Taint.java）实现的。

情景——IPC传递

代码：

frameworks/base/cmds/servicemanager/binder.c

frameworks/native/libs/binder/Parcel.h

frameworks/native/libs/binder/Parcel.cpp

framework/base/core/java/android/os/Parcel.java

framework/base/core/jni/android_os_Parcel.cpp

分析：

为了实现IPC的污点跟踪，taintdroid给每个Parcel单独维护了一个taint_info的结构体，其定义在Parcel.h，如下所示：

struct taint_in_parcel
{
uint32_t pos; //污点始址
uint32_t len; //污点长度
uint32_t taint; //污点标记
};
struct taint_info
{
uint32_t mTaintSize; // 当前污点项长度
uint32_t mCurPos; // 当前项索引
uint32_t mCurAllocatedSize; // 当前可用项长度
struct taint_in_parcel * parcelArray; //污点项数组
void* mOwnerCookie; //作用未知
};

然后提供了两个方法对这个结构进行操作，分别是Parcel::updateTaint和Parcel::getTaint。
updateTaint的功能是动态添加污点到当前Parcel，其实现如下：

而getTaint的功能是根据指定的范围获取对应的tag值（因为Parcel的数据是线性存储的），其实现如下所示：

为了可以方便上层接口调用，在android_os_Parcel.cpp通过JNI对上层提供了接口，

再来看一下Parcel.java层污点传递的具体实现，我从四个函数分析，其他的逻辑是类似的。

Parcel.marshall是把Parcel序列化为byte[]，其实现如下：

通过getTaint获取当前Parcel的污点集合tag，再通过Taint.addTainByteArray把tag传递给序列化后的data对象。

Parcel.unmarshall的作用跟Parcel.marshall是相反的，通过byte[]还原Parcel对象，其实现如下：

先通过Taint.getTainByArray拿到data的tag，然后再同步到还原后的Parcel对象。

Parcel.writeInt是往Parcel中写入一个32位的整型，其实现如下：

先获取被写入的val的tag，然后再通过调用updateTaint把污点数据同步到当前Parcel对象。

Parcel.readInt是执行与Parcel.writeInt相反的动作，从Parcel中读出一个32倍整形，其实现如下所示:

依据当前的pos和len，getTaint返回对应的tag，然后再通过Tain.addTainInt同步到最终结果val2。

总结：

TaintDroid的IPC污点跟踪粒度是变量粒度的，因此大大提高了污点传播的精准度。下一步继续分析下File & Memory & Socket 级污点传播

作者：简行、走位@阿里聚安全，更多Android安全类技术文章，请访问阿里聚安全博客