Сегодня в выпуске: исследование IPC-механизмов Android, хукинг нативных библиотек с помощью Frida, правильный способ завершения короутин в Kotlin, введение в Kotlin Flow и StateFlow, перегрузка операторов в Kotlin, оператор Elvis и основы функционального программирования. А также подборка инструментов пентестера и библиотек для разработчиков.
Android IPC: Part 2 — Binder and Service Manager Perspective — статья о Binder, одной из ключевых технологий Android.
Вопреки расхожему мнению, Android с самых первых версий использовал песочницы для изоляции приложений. И реализованы они были весьма интересным способом. Каждое приложение запускалось от имени отдельного пользователя Linux и, таким образом, имело доступ только к своему каталогу внутри /data/data
.
Друг с другом и с операционной системой приложения могли общаться только через IPC-механизм Binder, который требовал авторизации для выполнения того или иного действия. В Android Binder использовался и продолжает использоваться буквально для всего: от запуска приложений до вызова функций операционной системы.
Операционная система спроектирована так, что пользователи и даже программисты не догадываются о существовании какого-то IPC-механизма. Если программист хочет скопировать текст в буфер обмена, он просто получает ссылку на объект-сервис и вызывает один из его методов. Под капотом фреймворк преобразует этот вызов в сообщение Binder и отправляет его в ядро через файл-устройство /dev/binder
. Это сообщение перехватывает Service manager, который находит в своем каталоге сервис буфера обмена, проверяет полномочия приложения на отправку ему сообщений и, если оно имеет все необходимые права, передает сообщение сервису. После получения и обработки сообщения сервис буфера обмена отправляет ответ, используя тот же Binder.
Кроме полномочий, Service manager также проверяет, имеет ли приложение право на создание сервиса и может ли оно использовать ряд опасных сервисов. И первое, и второе — проверяя значение UID (идентификатор пользователя) вызывающего процесса. Если UID больше 10 000 — приложение не имеет права регистрировать новый сервис (все сторонние приложения в Android получают UID больше 10 000), а если UID находится в районе 99 000–99 999, приложение получает ограничение на использование «опасных» сервисов. Именно в эту группу попадают вкладки браузера Chrome.
How to hook Android Native methods with Frida (Noob Friendly) — статья о перехвате функций нативных библиотек с помощью Frida.
Для начала файл APK следует развернуть. Это обычный архив ZIP, поэтому можно использовать любой архиватор. Каталог lib
содержит набор нативных библиотек для различных архитектур. Находим библиотеку для архитектуры своего смартфона (обычно это arm64-v8a
или armeabi-v7a
) и анализируем ее содержимое с помощью утилиты nm
(она доступна в Linux и macOS):
$ nm --demangle --dynamic libnative-lib.so 00002000 A __bss_start U __cxa_atexit U __cxa_finalize 00002000 A _edata 00002000 A _end 00000630 T Java_com_erev0s_jniapp_MainActivity_Jniint 000005d0 T Jniint U rand U srand U __stack_chk_fail U time
Как видно, библиотека содержит в том числе функцию Java_com_erev0s_jniapp_MainActivity_Jniint
. Судя по имени, она должна быть доступна для вызова из Java (на стороне Java она будет иметь имя com.erev0s.jniapp.MainActivty.Jniint
).
Допустим, наша задача — перехватить вызов функции и вернуть удобное нам значение. Например, если бы это была функция, проверяющая наличие root, мы бы могли перехватить ее и вернуть false, невзирая на реальный результат проверки.
Есть два способа перехватить эту функцию:
Предположим, мы уже установили Frida на ПК и frida-server на смартфон (как это сделать, можно прочитать здесь). Теперь напишем такой скрипт:
Java.perform(function () { var Activity = Java.use('com.erev0s.jniapp.MainActivity') Activity.Jniint.implementation = function () { return 80085 } })
Этот скрипт переписывает функцию Jniint
класса com.erev0s.jniapp.MainActivity
так, чтобы она всегда возвращала значение 80 085.
Сохраняем скрипт в файл myhook.js
и запускаем приложение под управлением Frida:
$ frida -U -l myhook.js com.erev0s.jniapp
Перехватить нативную функцию еще проще:
Interceptor.attach(Module.getExportByName('libnative-lib.so', 'Java_com_erev0s_jniapp_MainActivity_Jniint'), { onEnter: function(args) {}, onLeave: function(retval) { retval.replace(0) } })
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее
-35%
1 год7690 рублей 4990 р. |
1 месяц720 р. |
Я уже участник «Xakep.ru»
Читайте также
Последние новости