Следующая новость
Предыдущая новость

Android: исследование IPC Android и хукинг нативных библиотек

27.05.2020 13:12
Android: исследование IPC Android и хукинг нативных библиотек

Содержание статьи

  • Почитать
  • Как устроена система сообщений в Android
  • Хукинг нативных библиотек с помощью Frida
  • Разработчику
  • Как правильно завершать короутины
  • Swift guard против Kotlin Elvis
  • Удобное логирование
  • Введение в Kotlin Flow
  • Kotlin Flow и StateFlow
  • Основы функционального программирования на Kotlin
  • Перегрузка операторов в Kotlin
  • Инструменты
  • Библиотеки

Сегодня в выпуске: исследование IPC-механизмов Android, хукинг нативных библиотек с помощью Frida, правильный способ завершения короутин в Kotlin, введение в Kotlin Flow и StateFlow, перегрузка операторов в Kotlin, оператор Elvis и основы функционального программирования. А также подборка инструментов пентестера и библиотек для разработчиков.

Почитать

Как устроена система сообщений в Android

Android IPC: Part 2 — Binder and Service Manager Perspective — статья о Binder, одной из ключевых технологий Android.

Вопреки расхожему мнению, Android с самых первых версий использовал песочницы для изоляции приложений. И реализованы они были весьма интересным способом. Каждое приложение запускалось от имени отдельного пользователя Linux и, таким образом, имело доступ только к своему каталогу внутри /data/data.

Друг с другом и с операционной системой приложения могли общаться только через IPC-механизм Binder, который требовал авторизации для выполнения того или иного действия. В Android Binder использовался и продолжает использоваться буквально для всего: от запуска приложений до вызова функций операционной системы.

Операционная система спроектирована так, что пользователи и даже программисты не догадываются о существовании какого-то IPC-механизма. Если программист хочет скопировать текст в буфер обмена, он просто получает ссылку на объект-сервис и вызывает один из его методов. Под капотом фреймворк преобразует этот вызов в сообщение Binder и отправляет его в ядро через файл-устройство /dev/binder. Это сообщение перехватывает Service manager, который находит в своем каталоге сервис буфера обмена, проверяет полномочия приложения на отправку ему сообщений и, если оно имеет все необходимые права, передает сообщение сервису. После получения и обработки сообщения сервис буфера обмена отправляет ответ, используя тот же Binder.

Кроме полномочий, Service manager также проверяет, имеет ли приложение право на создание сервиса и может ли оно использовать ряд опасных сервисов. И первое, и второе — проверяя значение UID (идентификатор пользователя) вызывающего процесса. Если UID больше 10 000 — приложение не имеет права регистрировать новый сервис (все сторонние приложения в Android получают UID больше 10 000), а если UID находится в районе 99 000–99 999, приложение получает ограничение на использование «опасных» сервисов. Именно в эту группу попадают вкладки браузера Chrome.

Хукинг нативных библиотек с помощью Frida

How to hook Android Native methods with Frida (Noob Friendly) — статья о перехвате функций нативных библиотек с помощью Frida.

Для начала файл APK следует развернуть. Это обычный архив ZIP, поэтому можно использовать любой архиватор. Каталог lib содержит набор нативных библиотек для различных архитектур. Находим библиотеку для архитектуры своего смартфона (обычно это arm64-v8a или armeabi-v7a) и анализируем ее содержимое с помощью утилиты nm (она доступна в Linux и macOS):

$ nm --demangle --dynamic libnative-lib.so  00002000 A __bss_start          U __cxa_atexit          U __cxa_finalize 00002000 A _edata 00002000 A _end 00000630 T Java_com_erev0s_jniapp_MainActivity_Jniint 000005d0 T Jniint          U rand          U srand          U __stack_chk_fail          U time 

Как видно, библиотека содержит в том числе функцию Java_com_erev0s_jniapp_MainActivity_Jniint. Судя по имени, она должна быть доступна для вызова из Java (на стороне Java она будет иметь имя com.erev0s.jniapp.MainActivty.Jniint).

Допустим, наша задача — перехватить вызов функции и вернуть удобное нам значение. Например, если бы это была функция, проверяющая наличие root, мы бы могли перехватить ее и вернуть false, невзирая на реальный результат проверки.

Есть два способа перехватить эту функцию:

  1. На стороне Java, когда приложение только попытается вызвать нативную функцию.
  2. На стороне нативного кода, когда управление уже будет передано библиотеке.

Предположим, мы уже установили Frida на ПК и frida-server на смартфон (как это сделать, можно прочитать здесь). Теперь напишем такой скрипт:

Java.perform(function () {     var Activity = Java.use('com.erev0s.jniapp.MainActivity')     Activity.Jniint.implementation = function () {         return 80085     } }) 

Этот скрипт переписывает функцию Jniint класса com.erev0s.jniapp.MainActivity так, чтобы она всегда возвращала значение 80 085.

Сохраняем скрипт в файл myhook.js и запускаем приложение под управлением Frida:

$ frida -U -l myhook.js com.erev0s.jniapp 

Перехватить нативную функцию еще проще:

Interceptor.attach(Module.getExportByName('libnative-lib.so', 'Java_com_erev0s_jniapp_MainActivity_Jniint'), {     onEnter: function(args) {},     onLeave: function(retval) {       retval.replace(0)     } }) 
Результат работы скрипта

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

-35%

1 год

7690 рублей 4990 р.

1 месяц

720 р.

Я уже участник «Xakep.ru»

Источник

Последние новости