Contoh analisis untuk menemui kelemahan aplikasi sembang dalam APP mainan pintar 'Thomas the Tank Engine'

Latar belakang penemuan kerentanan

ToyTalk ialah permulaan mainan kecerdasan buatan yang diasaskan oleh bekas eksekutif Pixar Mainan pintar yang mereka reka mempunyai fungsi penjejakan visual, pengecaman suara dan pengembangan rangkaian, yang membolehkan kanak-kanak berinteraksi dengan mereka melalui APP. .

ToyTalk melancarkan APP berbayar yang dipanggil "Thomas & Friends Talk To You" pada Julai 2015, yang membolehkan kanak-kanak bersembang dengan watak kartun terkenal "Thomas the Tank Engine" sembang interaktif, yang membolehkan kanak-kanak berinteraksi dengan Thomas dan rakan-rakannya Percy, Gordon, Henry, James, Edward, Toby, dan "Pengawal Lemak" dalam perjalanan 8 cerita ke Pulau Sodor perbualan dua hala dengan Sir Topham Hatt

Untuk menguji keselamatan produk mainan ToyTalk dan risiko keselamatan yang disebabkan oleh mengakses persekitaran rangkaian rumah, saya memutuskan untuk menjalankan semakan "Thomas and Friends" Menjalankan beberapa analisis dan penyelidikan tentang APP "Chat with You" Memandangkan produk ToyTalk semuanya menggunakan sama asas kod, dan APP Thomas Talk ini mudah dipasang dan dialih keluar, ia mudah untuk diuji dan juga boleh mewakili Selain itu, produk ToyTalk yang lain, seperti Hello Barbie (Hello Barbie) dan Barbie Hello Dreamhouse (Barbie Dreamhouse) mungkin. juga mempunyai kelemahan yang sama

Keadaan kerentanan

#Kerentanan 1: - Kekurangan mekanisme pengesahan, menyerang seseorang dengan mudah berpura-pura menjadi kanak-kanak dan berbual dengan Thomas Toy

#Vulnerability 2: - Boleh berpura-pura menjadi support@toytalk.com atau pengguna berdaftar lain dan menghantar e-mel dengan pautan pancingan data HTML berniat jahat yang disuntik

Analisis cara APP berfungsi

Selepas APP "Thomas dan rakannya bersembang dengan anda" dilancarkan, ia memerlukan alamat e-mel ibu bapa untuk mengesahkan penggunaan fungsi pengecaman suara yang disediakan oleh APP Selepas menyerahkan alamat e-mel, APP memasuki larian Pada mulanya, anda mungkin merasakan bahawa permukaan serangan yang didedahkan oleh APP adalah sangat terhad, kerana ia memerlukan Sediakan kebenaran pengesahan untuk bercakap dengan mainan itu APP, dan semasa analisis, saya mendapati bahawa APP ini berbeza daripada aplikasi lain kerana ia menyediakan kaedah pengesahan dengan pelanggan Sijil, iaitu, terdapat juga proses pengesahan bersama antara APP dan pelayan WEBnya. . Berdasarkan ini, kita perlu terlebih dahulu melihat mekanisme kerja sijil pelanggan dan pengesahan kata laluan yang berkaitan

Selepas membalikkan, kami mendapati bahawa dua fungsi berikut lebih menarik:

public void setSslClientCertificate(String filename, String passphrase) {
        InputStream file = null;
        try {
            KeyStore store = KeyStore.getInstance("PKCS12");
            file = this.mContext.getResources().getAssets().open(filename);
            store.load(file, passphrase.toCharArray());
            this.mClientCertificate = KeyManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            this.mClientCertificate.init(store, new char[0]);
        } catch (Exception e) {
            Log.OMG(e);
         } finally {
            Utils.close(file);
        }
    }

public void setSslCaCertificate(String filename, String passphrase) {

        InputStream file = null;
        try {
            KeyStore store = KeyStore.getInstance("BKS");
            file = this.mContext.getResources().getAssets().open(filename);
            store.load(file, passphrase.toCharArray());
            this.mCaCertificate = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            this.mCaCertificate.init(store);
        } catch (Exception e) {
            Log.OMG(e);
        } finally {
            Utils.close(file);
        }
    }

. Selepas itu, saya tidak terus menterbalikkan carian untuk fungsi input kata laluan, tetapi menggunakan Python berikut dengan fungsi kait frida, yang boleh membuang kata laluan dan nama fail untuk menggali lebih dalam:

import frida
import sys
def on_message(message, data):
    print message
device = frida.get_device_manager().enumerate_devices()[-1]
pid = device.spawn(["com.toytalk.thomas"])
print (pid)
session = device.attach(pid)
ss = '''
 Java.perform(function () {
    var MyClass = Java.use("com.toytalk.library.HttpRequester");
    MyClass.setSslCaCertificate.overload("java.lang.String","java.lang.String").implementation = function(a,b){
        send(a);
        send(b);
        return this.setSslCaCertificate.overload("java.lang.String","java.lang.String").call(this,a,b);
    }
    MyClass.setSslClientCertificate.overload("java.lang.String","java.lang.String").implementation = function(a,b){
        send(a);
        send(b);
        return this.setSslCaCertificate.overload("java.lang.String","java.lang.String").call(this,a,b);
    }
})
'''    
script = session.create_script(ss)
script.load()
script.on('message', on_message)
device.resume(pid)
#session.detach()
sys.stdin.read()

Untungnya, yang betul. fail sijil boleh diekstrak daripada apk dan digunakan untuk melakukan serangan man-in-the-middle (MITM). Menariknya, fail toystalk.12 tidak menggunakan sebarang Kata Laluan yang dilindungi.

Sijil pelanggan kini boleh digunakan, tetapi mekanisme penyematan sijil masih perlu dipintas. Walaupun terdapat banyak cara untuk mencapai ini, cara paling mudah ialah memadam sijil dalam apk, membina semula program dan memasangnya semula. Import sijil pelanggan ke dalam Burpsuite untuk melumpuhkan fungsi mengunci sijil Selepas itu, kita boleh memasuki langkah pertama kebanyakan pemintasan ujian-trafik program APP.

Analisis Kerentanan

Kerentanan 1 - Kekurangan mekanisme pengesahan
APP juga menyediakan fungsi yang kurang jelas, iaitu, fail audio perbualan yang ditangkap akan disimpan dalam talian , yang boleh digunakan oleh ibu bapa untuk mendengar ulang tayang seterusnya Fungsi ini terikat pada alamat e-mel yang digunakan untuk kebenaran sebelumnya, walaupun alamat e-mel ini hanya digunakan apabila ibu bapa melakukan penetapan semula kata laluan.

Apabila butang "cakap" ditekan, APP akan menghantar fail audio yang ditangkap ke pelayan web jauh dalam kaedah permintaan POST berikut:

https://asr.2.toytalk.com/v3/asr/0673bcb8-367a-44bc-aed5-8c21fb7086af/thomas/1502714441?account=&play_removed=<t;removed&device_model=&os=Android&os_version=5.1&intelligence=0%2F1%2Fc%2F01cd49694727bbcf7c4cefligence =rs _b92dd8d9-cba9-4a76-a56b-51fc3d15f8f5&rate=16000

虽然其中的发送内容涉及很多变量值，但通过把当前用户ID更改为其它用户ID后，就能把音频文件发送到指定的用户账户名下，这将会允许一些恶意攻击者向儿童父母发送一些淫秽音频信息。

在这种情况下，虽然用户ID是一个随机的全局惟一标识符（GUID），但我们可以根据邮箱地址等已知线索来发现一些有效的用户ID信息。

此外，通过在ToyTalk代码库上运行“strings”命令，我们也可以找到一些线索：

所以，根据上图信息，一旦客户端证书被安装到浏览器中后，通过访问地址：

https://api.toytalk.com/v3/account/

就能下载到一个包含用户ID的文件。有用户ID信息在手，就能更改POST请求中的ID信息，将对话音频发送到任何注册了该APP的邮箱地址中去。修复该漏洞的方法是要求提供正确的设备ID和相关联的用户ID。我们还没测试设备ID是否能以其它方法获取，但要向某个用户账号添加一个设备ID，貌似需要访问到关联的邮箱地址才行。

漏洞报送进程

2017.8.14 -  向ToyTalk报告漏洞

2017.11.16 - 被分类为一般漏洞并被初次修复，变为closed状态

2017.11.29 - ToyTalk再次测试发现漏洞仍然存在，并重置为reopen状态

2017.12.8  - 完全修复漏洞

2017.12.18 - 漏洞赏金发放并关闭漏洞报告

漏洞2 - 可向ToyTalk邮件中注入恶意HTML框架

几天过后，我的朋友建议我学习一下ToyTalk的邮箱注入机制，这是在提交漏洞1后发生的。在使用诸如“Thomas And You”等APP应用注册设备时，它会将一封电子邮件发送到用户提供的邮箱地址中， 由于该电子邮件中包含了用户信息（设备名称），如果攻击者利用漏洞1方法获取到受害者的用户ID之后，那么，接下来可以修改电子邮件HTML中包含的设备名称，以该受害者用户ID为可信发件人，向其它受害者发送恶意钓鱼邮件，或任意更改过的邮件内容。

为了向受害者发送钓鱼邮件，攻击者先要用邮箱在该APP上进行注册，利用该注册邮箱地址，再用漏洞1方法获取到受害者用户ID，用以后续进行钓鱼邮件发送。

也即，首先，攻击者用受害者注册过的邮箱地址，执行以下请求，以获取到相应的受害者用户ID：

GET /v3/account/<email> HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.1; ONEPLUS A3003 Build/NMF26F)
Host: api.2.toytalk.com
Connection: close</email>

然后，再以该用户ID为可信发件人，用以下POST方式，向其它受害者发送包含钓鱼链接的恶意邮件内容：

POST /v3/account/<accountid>/email/consent?device_id=asdf&device_name=TEST%20DEVICE"%20<a>click%20here</a>&application=Thomas+And+You&always HTTP/1.1
Content-Type: text/plain
Content-Length: 0
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.1; ONEPLUS A3003 Build/NMF26F)
Host: api.2.toytalk.com
Connection: close</accountid>

以上只是一个简单的PoC示例，它利用标签将HTML链接注入到邮件内容框架中，但如果花时间调整，也可以精心制作出一个更具迷惑性的钓鱼邮件来，例如，某位家长可以假冒support@toytalk.com邮件来欺骗其它家长的用户名密码信息。以下邮件内容包含钓鱼链接，是我们冒充toytalk官方发送的：

漏洞报送进程：

2017.12.4 - 提交漏洞

2017.12.12 - 官方致谢

2017.12.18 - 官方修复漏洞

2017.12.18 - 发布赏金并关闭漏洞报告

整体来说，两个漏洞的利用方式都存在一定的受限条件，但也侧面说明了大量APP在开发过程中忽视了全面的安全考虑。

Atas ialah kandungan terperinci Contoh analisis untuk menemui kelemahan aplikasi sembang dalam APP mainan pintar 'Thomas the Tank Engine'. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!