Категория > Новости > Android: исследование IPC Android и хукинг нативных библиотек - «Новости»

Android: исследование IPC Android и хукинг нативных библиотек - «Новости»

27-05-2020, 12:36. Автор: Евдокия

Сегодня в выпуске: исследование IPC-механизмов Android, хукинг нативных библиотек с помощью Frida, правильный способ завершения короутин в Kotlin, введение в Kotlin Flow и StateFlow, перегрузка операторов в Kotlin, оператор Elvis и основы функционального программирования. А также подборка инструментов пентестера и библиотек для разработчиков.

Почитать

Как устроена система сообщений в Android

Android IPC: Part 2 — Binder and Service Manager Perspective — статья о Binder, одной из ключевых технологий Android.

Вопреки расхожему мнению, Android с самых первых версий использовал песочницы для изоляции приложений. И реализованы они были весьма интересным способом. Каждое приложение запускалось от имени отдельного пользователя Linux и, таким образом, имело доступ только к своему каталогу внутри /data/data.

Р”СЂСѓРі СЃ РґСЂСѓРіРѕРј Рё СЃ РѕРїРµСЂР°С†РёРѕРЅРЅРѕР№ СЃРёСЃС‚РµРјРѕР№ РїСЂРёР»РѕР¶РµРЅРёСЏ РјРѕРіР»Рё РѕР±С‰Р°С‚СЊСЃСЏ С‚РѕР»СЊРєРѕ С‡РµСЂРµР· IPC-РјРµС…Р°РЅРёР·Рј Binder, РєРѕС‚РѕСЂС‹Р№ С‚СЂРµР±РѕРІР°Р» Р°РІС‚РѕСЂРёР·Р°С†РёРё РґР»СЏ РІС‹РїРѕР»РЅРµРЅРёСЏ С‚РѕРіРѕ РёР»Рё РёРЅРѕРіРѕ РґРµР№СЃС‚РІРёСЏ. Р’ Android Binder РёСЃРїРѕР»СЊР·РѕРІР°Р»СЃСЏ Рё РїСЂРѕРґРѕР»Р¶Р°РµС‚ РёСЃРїРѕР»СЊР·РѕРІР°С‚СЊСЃСЏ Р±СѓРєРІР°Р»СЊРЅРѕ РґР»СЏ РІСЃРµРіРѕ: РѕС‚ Р·Р°РїСѓСЃРєР° РїСЂРёР»РѕР¶РµРЅРёР№ РґРѕ РІС‹Р·РѕРІР° С„СѓРЅРєС†РёР№ РѕРїРµСЂР°С†РёРѕРЅРЅРѕР№ СЃРёСЃС‚РµРјС‹.

РћРїРµСЂР°С†РёРѕРЅРЅР°СЏ СЃРёСЃС‚РµРјР° СЃРїСЂРѕРµРєС‚РёСЂРѕРІР°РЅР° С‚Р°Рє, С‡С‚Рѕ РїРѕР»СЊР·РѕРІР°С‚РµР»Рё Рё РґР°Р¶Рµ РїСЂРѕРіСЂР°РјРјРёСЃС‚С‹ РЅРµ РґРѕРіР°РґС‹РІР°СЋС‚СЃСЏ Рѕ СЃСѓС‰РµСЃС‚РІРѕРІР°РЅРёРё РєР°РєРѕРіРѕ-С‚Рѕ IPC-РјРµС…Р°РЅРёР·РјР°. Р•СЃР»Рё РїСЂРѕРіСЂР°РјРјРёСЃС‚ С…РѕС‡РµС‚ СЃРєРѕРїРёСЂРѕРІР°С‚СЊ С‚РµРєСЃС‚ РІ Р±СѓС„РµСЂ РѕР±РјРµРЅР°, РѕРЅ РїСЂРѕСЃС‚Рѕ РїРѕР»СѓС‡Р°РµС‚ СЃСЃС‹Р»РєСѓ РЅР° РѕР±СЉРµРєС‚-СЃРµСЂРІРёСЃ Рё РІС‹Р·С‹РІР°РµС‚ РѕРґРёРЅ РёР· РµРіРѕ РјРµС‚РѕРґРѕРІ. РџРѕРґ РєР°РїРѕС‚РѕРј С„СЂРµР№РјРІРѕСЂРє РїСЂРµРѕР±СЂР°Р·СѓРµС‚ СЌС‚РѕС‚ РІС‹Р·РѕРІ РІ СЃРѕРѕР±С‰РµРЅРёРµ Binder Рё РѕС‚РїСЂР°РІР»СЏРµС‚ РµРіРѕ РІ СЏРґСЂРѕ С‡РµСЂРµР· С„Р°Р№Р»-СѓСЃС‚СЂРѕР№СЃС‚РІРѕ /dev/binder. Это сообщение перехватывает Service manager, который находит в своем каталоге сервис буфера обмена, проверяет полномочия приложения на отправку ему сообщений и, если оно имеет все необходимые права, передает сообщение сервису. После получения и обработки сообщения сервис буфера обмена отправляет ответ, используя тот же Binder.

Кроме полномочий, Service manager также проверяет, имеет ли приложение право на создание сервиса и может ли оно использовать ряд опасных сервисов. И первое, и второе — проверяя значение UID (идентификатор пользователя) вызывающего процесса. Если UID больше 10 000 — приложение не имеет права регистрировать новый сервис (все сторонние приложения в Android получают UID больше 10 000), а если UID находится в районе 99 000–99 999, приложение получает ограничение на использование «опасных» сервисов. Именно в эту группу попадают вкладки браузера Chrome.

Хукинг нативных библиотек с помощью Frida

How to hook Android Native methods with Frida (Noob Friendly) — статья о перехвате функций нативных библиотек с помощью Frida.

Для начала файл APK следует развернуть. Это обычный архив ZIP, поэтому можно использовать любой архиватор. Каталог lib СЃРѕРґРµСЂР¶РёС‚ РЅР°Р±РѕСЂ РЅР°С‚РёРІРЅС‹С… Р±РёР±Р»РёРѕС‚РµРє РґР»СЏ СЂР°Р·Р»РёС‡РЅС‹С… Р°СЂС…РёС‚РµРєС‚СѓСЂ. РќР°С…РѕРґРёРј Р±РёР±Р»РёРѕС‚РµРєСѓ РґР»СЏ Р°СЂС…РёС‚РµРєС‚СѓСЂС‹ СЃРІРѕРµРіРѕ СЃРјР°СЂС‚С„РѕРЅР° (РѕР±С‹С‡РЅРѕ СЌС‚Рѕ arm64-v8a или armeabi-v7a) Рё Р°РЅР°Р»РёР·РёСЂСѓРµРј РµРµ СЃРѕРґРµСЂР¶РёРјРѕРµ СЃ РїРѕРјРѕС‰СЊСЋ СѓС‚РёР»РёС‚С‹ nm (она доступна в Linux и macOS):

$ nm --demangle --dynamic libnative-lib.so 
00002000 A __bss_start
U __cxa_atexit
U __cxa_finalize
00002000 A _edata
00002000 A _end
00000630 T Java_com_erev0s_jniapp_MainActivity_Jniint
000005d0 T Jniint
U rand
U srand
U __stack_chk_fail
U time
[/code]

Как видно, библиотека содержит в том числе функцию Java_com_erev0s_jniapp_MainActivity_Jniint. РЎСѓРґСЏ РїРѕ РёРјРµРЅРё, РѕРЅР° РґРѕР»Р¶РЅР° Р±С‹С‚СЊ РґРѕСЃС‚СѓРїРЅР° РґР»СЏ РІС‹Р·РѕРІР° РёР· Java (РЅР° СЃС‚РѕСЂРѕРЅРµ Java РѕРЅР° Р±СѓРґРµС‚ РёРјРµС‚СЊ РёРјСЏ com.erev0s.jniapp.MainActivty.Jniint).

Допустим, наша задача — перехватить вызов функции и вернуть удобное нам значение. Например, если бы это была функция, проверяющая наличие root, мы бы могли перехватить ее и вернуть false, невзирая на реальный результат проверки.

Есть два способа перехватить эту функцию:

На стороне Java, когда приложение только попытается вызвать нативную функцию.
На стороне нативного кода, когда управление уже будет передано библиотеке.

Предположим, мы уже установили Frida на ПК и frida-server на смартфон (как это сделать, можно прочитать здесь). Теперь напишем такой скрипт:

Java.perform(function () {
    var Activity = Java.use('com.erev0s.jniapp.MainActivity')
    Activity.Jniint.implementation = function () {
        return 80085
    }
})

Этот скрипт переписывает функцию Jniint РєР»Р°СЃСЃР° com.erev0s.jniapp.MainActivity так, чтобы она всегда возвращала значение 80 085.

Сохраняем скрипт в файл myhook.js и запускаем приложение под управлением Frida:

$ frida -U -l myhook.js com.erev0s.jniapp
[/code]

Перехватить нативную функцию еще проще:

Interceptor.attach(Module.getExportByName('libnative-lib.so', 'Java_com_erev0s_jniapp_MainActivity_Jniint'), {
    onEnter: function(args) {},
    onLeave: function(retval) {
      retval.replace(0)
    }
})

Результат работы скрипта

Перейти обратно к новости