【“移动互联网安全”论坛回顾】向小波:安卓系统服务中的Binder事务重定向攻击

6月4日,由InForSec主办,清华大学(网络研究院)-奇安信联合研究中心、复旦大学系统软件与安全实验室承办,中国科学院计算技术研究所计算机体系结构国家重点实验室、中国科学院软件研究所可信计算与信息保障实验室、百度安全、奇安信集团、蚂蚁集团、阿里安全协办的“网络安全四大顶会研究成果分享”之“移动互联网安全”(二)论坛在线上成功召开。中国科学院大学王基策博士、山东大学李蕊博士、复旦大学廉轲轲博士、中国科学院信息工程研究所向小波博士在会上作了精彩的报告。本次会议由复旦大学副教授张源主持,共77人参加会议。

InForSec将对会议精彩报告进行内容回顾,本文分享的是向小波博士的报告——《安卓系统服务中的Binder事务重定向攻击 》。

向小波博士首先介绍了该研究的动机发现,目前传统的C/S架构下,大多考虑的都是从客户端向服务端发起攻击,但是从服务端向客户端发起攻击的研究比较少。

图片

接着向博士介绍了安卓进程间通信的背景知识。Binder是访问安卓系统服务的主要IPC手段,其采用传统的C/S架构,并假设系统服务为Server、安卓应用为Client。然而,在安卓系统的代码实现中,有大量的场景并非严格遵循这个假设。C/S的身份有时会发生逆转,此时 Binder Server 由上层应用来实现,而系统服务所在的高权限进程反过来变成了Binder Client。

图片

向博士进一步的介绍了本工作的两个关键认识。对于客户端来说服务端是透明不可知的,服务端可以通过一系列API获取客户端信息,但客户端是无法通过API获取服务端身份信息的,这就为攻击者提供了切入点。

图片
图片

基于这些发现,向博士提出了Binder Transaction Redirection (BiTRe) 攻击,攻击者通过诱导系统服务与攻击者自定义的 Binder Server 进行通信,而后反过来攻击这些未受保护的系统服务。

图片

接着,向博士对AOSP中易遭受BiTRe攻击的系统服务作攻击面进行枚举,并发现该攻击面的数量呈现出逐版本上升趋势。在安卓11中,约有70%的Binder接口可受到 BiTRe 攻击影响或可用于 BiTRe 攻击。

图片

最后,向博士介绍了4种类型的攻击方式,感兴趣的读者可以去论文中获取更完整的信息。

演讲者简介

向小波,中国科学院信息工程研究所第六研究室博士生,致力于安卓系统漏洞挖掘与利用技术的研究。

视频回顾:安卓系统服务中的Binder事务重定向攻击小程序

Bookmark the permalink.

Comments are closed.