漏洞表現
直入主題,附件有一個名爲PermissionLeakage的Demo, 在PC上安裝前的界面如下:
從圖可以看到,這個DEMO沒有定義任何權限(實際也沒有定義任何權限,大家可以嘗試反編譯看一下他的AndroidManifest.xml)。下面是DEMO的界面內容,如下:
DEMO可以在零權限的情況下,完成各種手機唯一碼的讀取,特別是“手機號碼”等重要信息,甚至可以監控來去電,大家可以安裝DEMO測試一下。
在軟件詳情裏,觀看軟件的權限信息,發現問題所在了,如下:
系統默認把權限授予給應用程序了,其中包含READ_PHONE_STATE和WRITE_EXTERNAL_STORAGE。
漏洞分析
經多次測試和分析,發現該問題在1.6+的固件上都會出現,只要在AndroidManifest上的targetSDkVersion <= 3 即可。
這個漏洞,在源碼上也得到了印證,如下:
看來是出現兼容性考慮。但不管怎樣說,這個還是會給用戶帶來安全隱患。
造成的影響
1. 如正前面第一個截圖,在PC端安裝軟件時,都是通過分析AndroidManifest.xml顯示權限信息的,因此有可能會讓用戶誤以爲是安全的(特別是某些看圖應用,您懂的!);
2. 對於一些基於應用權限信息的分析邏輯,有可能會漏掉某些應用。