該漏洞的成功利用不需要任何條件。
通過該漏洞，任何應(yīng)用軟件可以獲取下列信息：
- 硬件數(shù)據(jù)，包括：系統(tǒng)版本、系統(tǒng)編譯信息、內(nèi)存和CPU信息、電池信息、IMEI、基帶版本、設(shè)備生產(chǎn)序號(hào)等
- 當(dāng)前狀態(tài)數(shù)據(jù)，包括：當(dāng)前進(jìn)程基本信息、所有進(jìn)程的trace結(jié)果、分區(qū)掛載信息、路由表和ARP緩存表、運(yùn)營(yíng)商、當(dāng)前系統(tǒng)服務(wù)狀態(tài)、系統(tǒng)維護(hù)的Content Provider和Broadcast數(shù)據(jù)結(jié)構(gòu)和權(quán)限管理信息、各軟件運(yùn)行時(shí)間
- 日志數(shù)據(jù)，包括：系統(tǒng)日志、系統(tǒng)事件日志、內(nèi)核事件日志、內(nèi)核消息、
- 軟件數(shù)據(jù)，包括：已安裝軟件的包名、版本、簽名證書、使用權(quán)限、安裝時(shí)間、上次使用時(shí)間
- 用戶敏感數(shù)據(jù)，包括：已連接的WiFi網(wǎng)絡(luò)（MAC地址、SSID、類型、IP、DNS、網(wǎng)關(guān)、DHCP）、周圍可用WiFi網(wǎng)絡(luò)的SSID/BSSID和類型等；、Broadcast處理的歷史記錄（可以對(duì)用戶行為做統(tǒng)計(jì)）、當(dāng)前地理位置、歷史地理位置、用戶當(dāng)前賬戶的用戶名、用戶數(shù)據(jù)同步賬戶的用戶名和時(shí)間、軟件使用情況統(tǒng)計(jì)數(shù)據(jù)
 

當(dāng)前的MIUI系統(tǒng)存在兩個(gè)問題：
1. 以普通shell權(quán)限可以運(yùn)行/system/bin/bugreport程序，該程序用于搜集系統(tǒng)各類信息并輸出
2. 安裝了一個(gè)軟件/system/app/Cit.apk，原用于出廠硬件測(cè)試用，該軟件中，com.miui.cit.CitBroadcastReceiver組件存在permission re-delegation類型漏洞，通過利用該漏洞，可導(dǎo)致任何軟件通過特定參數(shù)遠(yuǎn)程觸發(fā)該接收器，觸發(fā)該軟件自動(dòng)調(diào)用bugreport，并將結(jié)果保存在SD卡的特定目錄/sdcard/MIUI/debug_log/下，如前所述，SD卡的文件可以被任意軟件讀寫
上述兩個(gè)問題中的任何一個(gè)都可以導(dǎo)致對(duì)本漏洞的利用。任何應(yīng)用軟件通過解析bugreport的輸出結(jié)果，得到上述信息。
漏洞證明：三種利用方法：
1. adb shell進(jìn)去，不提權(quán)，直接bugreport > /sdcard/dump.txt即可，如圖所示：
 
 
 
2. 對(duì)應(yīng)用軟件，在源碼中用Runtime.getRuntime().exec()函數(shù)執(zhí)行bug report即可。獲得輸出結(jié)果有兩種方法，一是上面所示的重定向，二是對(duì)返回的Process對(duì)象調(diào)用getOutputStream()方法。不具體演示了，我在小米的代碼里有看到使用。
3. 對(duì)CitBroadcastReceiver的permission re-delegation攻擊，代碼片段如下：
Intent intent = new Intent();
intent.setAction("android.provider.Telephony.SECRET_CODE");
intent.setData(Uri.parse("android_secret_code://284"));
sendBroadcast(intent);
然后稍等十秒即可從SD卡的/sdcard/MIUI/debug_log/目錄讀到類似于bugreport-<date>-<time>.log的文件
 
可以讀取到的部分?jǐn)?shù)據(jù)如下：
IMEI
 
 
 
已安裝軟件信息
 
 
 
已安裝軟件的簽名
 
 
 
用戶賬戶
 
 
 
正在使用的和周邊的WiFi網(wǎng)絡(luò)信息
 
 
 
地理位置信息和歷史記錄
 

 
修復(fù)建議：
1. 將bugreport的執(zhí)行權(quán)限調(diào)為root
2. 刪掉Cit.apk軟件，或?yàn)槠銫itBroadcastReceiver接收器的調(diào)用加入靜態(tài)或者動(dòng)態(tài)的自定義權(quán)限檢查代碼
3. 考慮對(duì)bugreport輸出結(jié)果進(jìn)行加密，既然這個(gè)東西只有小米的工程師看，可以在設(shè)備上部署同一個(gè)公鑰，私鑰只有小米官方掌握就可以了
 

最新評(píng)論