之前一直在看的每月补丁分析的博客 https://wrlus.com/ 看起来是不再更新了,想了想反正自己每个月也要去追着看,干脆写一下分析得了,方便自己后面找。
本人很菜,分析的大部分都是 Java 层漏洞,大佬别骂我 QAQ
最初发表在我的 telegram 频道。每月补丁都会在此文中更新。
最后更新时间:2024/07/04 更新内容:更新 2024-07
2024-07-01
已知被利用漏洞:Arm Mali GPU Kernel Driver Use-After-Free Vulnerability CVE-2024-4610
(Android 安全公告未发出警告,信息来源于 CISA Known Exploited Vulnerabilities Catalog)
Framework
CVE-2024-31320 EoP Critical 1 2
CompanionDeviceManagerService 处理配对请求时接受一个 AssociationRequest,里面包含一个变量 mSkipPrompt 可以跳过用户确认,原本预期这个值只应该由系统设置,但代码里出现逻辑错误,mayAssociateWithoutPrompt 返回 false 时没有覆盖掉 app 设置的值。只影响 Android 13 以前。
这个严重给的名副其实,可惜我的 CVE-2024-31318 没给严重 😭
CVE-2024-31331 EoP High 1
调用 setMimeGroup 成功后要发送 ACTION_PACKAGE_CHANGED 广播。不懂不发送会有什么问题。漏洞描述:
In setMimeGroup of PackageManagerService.java, there is a possible way to hide the service from Settings due to a logic error in the code. This could lead to local escalation of privilege with User execution privileges needed. User interaction is needed for exploitation.
CVE-2024-34720 EoP High 1
有新进程连接到 Zygote 时校验其 UID,确保是 system UID。原本 selinux policy 会限制只允许 system server 连接到 zygote 进程,但是对 app zygote 这个限制不够严格,两个 app zygote 进程可以相互连接然后发送伪造命令。
更多关于 app zygote 可以参考 android:usesAppZygote 和 ZygotePreload 的文档,我之前的检测 magisk 那篇文章也有简单提及。
CVE-2024-34723 EoP High 1
MediaSession ParcelableListBinder 只允许塞入指定类型的对象,防止后台启动绕过。这个问题之后会单独写一篇文章讲解。
System
CVE-2024-31332 EoP High 1
如果当前用户被设置了 DISALLOW_ADD_WIFI_CONFIG,不显示 WifiDppConfiguratorActivity 和 AddNetworkFragment。
CVE-2024-31339 EoP High 1
statsd 中,MultiConditionTrigger 可能会开启一个新线程 executorThread,该线程会持有外部资源引用,应该在 MultiConditionTrigger 被销毁时 join 这个线程保证它执行完毕。应该是 race condition 导致 UAF 的问题。
CVE-2024-34722 EoP High 1
蓝牙组件的问题,似乎是逻辑 bug。看不懂,告辞~
1 | Fix an authentication bypass bug in SMP |
CVE-2024-34721 ID High 1
MediaProvider 中插入文件时,对文件路径没有被显式指定的情况缺乏检查,导致可以插入到其他用户的储存。听起来挺有意思的,后续可以复现玩玩。
2024-06-01
这个月竟然一个 critical 都没有,奇迹啊
Framework
CVE-2023-21266 EoP High 1
禁止第三方应用通过 killBackgroundProcesses() 杀死其他应用的进程。看 CVE 描述是能一直杀 play 保护服务的进程从而绕过 play 保护。去年 10 月就放过一遍了,不知道为什么又放了一遍。
CVE-2024-31310 EoP High 1
强制自动填充服务必须声明对应的 intent-filter。没有追详细调用链,猜测是为了防止 serviceComponent 被任意指定,调用到未导出的 service?
更新:漏洞描述指出了细节:用户选择它为自动填充 app -> apk 更新,新的 apk 里这个服务缺失 intent-filter -> 系统自动重绑定该服务 -> 用户去设置里查看时,由于此时该 service 没有 intent-filter,该 app 不会被显示出来。
Summary: App can continue to fill input fields in the device even if user has not selected it as default Autofill service app.
Details: In newServiceInfoLocked of AutofillManagerServiceImpl.java, there is a possible way to hide an enabled Autofill service app in the Autofill service settings due to improper input validation. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is needed for exploitation.
CVE-2024-31316 EoP High 1
AccountManagerService 在修改返回的 bundle (具体是三处 remove 敏感信息的地方)之后重新检查 bundle 内的 intent 是否合法。简单想了一下,没想到 lazy bundle 加持下能怎么利用,猜测是在非 lazy bundle 的场景下,按照 mismatch 对象、被移除的键值对、恶意 intent 这个顺序放置来绕过 checkKeyIntentParceledCorrectly?
CVE-2024-31317 EoP High 1
如果设置的 hidden api exemptions 含有非法字符,不把它传递给 zygote,防止干扰参数解析。此漏洞可被用于伪造 uid 等参数,在任意 app 上下文中执行任意代码。
https://rtx.meta.security/exploitation/2024/06/03/Android-Zygote-injection.html
CVE-2024-31318 EoP High 1
此漏洞由我发现并报告。
CompanionDeviceManagerService onShellCommand() 内没有检查调用者权限,然后直接调用了同样没有权限检查的内部接口,造成越权访问,并直接造成权限提升。修复为把 onShellCommand() 改成重写 handleShellCommand(),因为 Binder.onShellCommand() 会先检查调用者 uid 确保必须是 root/shell。
关于这个漏洞的一点点番外:
通过分析提交历史,我发现这个函数以前其实是有一个权限检查的,但是在 Android 14 的一个提交 https://cs.android.com/android/_/android/platform/frameworks/base/+/7a8f22792e45630bff14eb8b276c7649b0d79097 里被人删掉了。所以这其实是一个只影响 Android 14 的漏洞(这下新版本魔人大失败了)。
由于我不是 Google 员工,没法直接知道这个人这么做的原因,我这里只能猜测一下:可能是眼花了把这里看成已经在用 handleShellCommand 了,可能是觉得权限检查重复(Android 12 的时候这块代码在 ShellCmd 构造函数里),或者干脆就是 git 出了 bug 把这行给意外移除了,类似那个 gotofail 漏洞。
继续追踪提交历史,我发现了一个更搞笑的:2020 年,同样的系统服务,同样的 onShellCommand,曾经出现过一个一模一样的漏洞 CVE-2020-0227 https://android.googlesource.com/platform/frameworks/base/+/84cccfe6cdbc57ee372ee1a0fea64c7a11c53766^!/#F1 。
嗯,让你不写回归测试,白给赏金了这下。
时间线:
- 2023.10.4 Android 14 正式发布
- 2023.11.25 我注意到此漏洞
- 2023.11.26 构建了 PoC 并向 Android 安全团队反馈
- 2024.2.10 Google 确认此漏洞并将严重程度评级为高。对,你没看错,两个半月
- 2024.5.21 Google 通知我补丁将在下个月发布,并分配 CVE-2024-31318
- 2024.6.3 已经过去了 190 天,补丁终于发布
CVE-2024-31319 EoP High 1
NotificationListenerService 修改 notification channel 的 sound 时,校验它是否有权限访问这个 uri。
(漏洞类型不应该给 ID 吗,为啥给了个 EoP?)
CVE-2024-31322 EoP High 1
对于被卸载的应用,把其提供的 AccessibilityService 从已启用的服务列表里面移除。我记得这个问题以前好像处理过一次,向上追了一下,只有在 onUserStateChangedLocked() 有机会调用到这里,猜测此漏洞是在管理员用户卸载其他用户的应用而对应用户处于非活跃状态的时候触发?
CVE-2024-31324 EoP High 1
如果窗口没有隐藏动画,需要立即隐藏它。说实话,没怎么看懂,CVE 描述也看不了,似乎是逻辑漏洞。留给有缘人分析复现吧~~
1 | Hide window immediately if itself doesn't run hide animation |
CVE-2024-31325 EoP High 1
SystemUI 解析 notification message/conversation 相关的图片 uri 时需要使用对应用户的 context。不确定在什么时候能触发。
(看起来漏洞类型应该给 ID 才对?还有为什么放 framework 里而不是 system?)
CVE-2024-31326 EoP High 1 2
Android 14 设备管理相关的配置存储方式发生变化,而又没有正确迁移相关配置,导致设备从旧版本更新到 14 之后设备管理员做出的限制丢失。具体来说是截图策略(screen capture policy)、lock task 配置、user restrictions 这三个。
CVE-2024-31312 ID High 1
如果设置锁屏隐藏通知,隐藏 media carousel(媒体操作面板?)。
CVE-2024-31314 DoS High 1
ShortcutService 可能会调用 UsageStatsManager.reportShortcutUsage(),对调用频率添加限制,防止拒绝服务。
System
CVE-2023-21113 EoP High 1 2 3
如果 AttributionSource 反序列化不是因为 binder 调用被触发,清空所有权限状态。
CVE-2023-21114 EoP High 1 2 3
WiFi 模块中先把 AttributionSource 从 bundle 提取出来再把任务交给工作线程处理。由于 android 13 引入的 lazy bundle 优化,对于 parcelable 类型只有在被实际访问的时候才会触发反序列化,而原来的代码中 bundle 里的 AttributionSource 在工作线程而非 binder 线程中被访问,触发反序列化时 Binder.getCallingUid() 等方法返回的是 system server 自己的信息,造成权限绕过。
CVE-2024-31311 EoP High 1
libstatssocket 内检查 AStatsEvent 的 lastFieldPos 必须小于 bufSize。
1 | // Side-effect: modifies event->errors if field has too many annotations |
CVE-2024-31313 EoP High 1
消息队列里检查越界情况。
CVE-2024-31315 EoP High 1
NotificationListenerService rebind 及所属包更新的时候,如果此时该服务不再被权限保护(没有声明 android:permission),不要 bind 它。(这也算漏洞?CVE 描述又看不了,不清楚有没有其他触发场景)
查看描述后发现和上面的 CVE-2024-31310 是类似的:用户打开权限 -> apk 更新,新的 apk 里这个服务不再被 permission 保护 -> 系统自动重绑定该服务 -> 用户去设置里查看时,由于此时该 service android:permission 配置不对,该 app 不会被显示出来。
Summary: App can read all notifications of the device without requiring any permission.
Details: In multiple functions of ManagedServices.java, there is a possible way to hide an app with notification access in the Device & app notifications settings due to improper input validation. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is needed for exploitation.
CVE-2024-31323 EoP High 1
悬浮窗覆盖漏洞限时返场,这次是 Health Connect 这个 app 里。只影响 14。
CVE-2024-31327 EoP High 1
补丁链接和 CVE-2024-31313 是一样的。
2024-06-05
Kernel
CVE-2024-26926 EoP High 1 2
内核 binder 驱动里 binder_get_object() 检查 offset 必须按 4 字节对齐。
2024-05-01
Framework
CVE-2024-0024 EoP High
创建用户时限制将用户名、账号名、账号类型这三个字符串的长度,否则长度可能会超出 BinaryXmlSerializer 的写入限制,导致后续 user restrictions 写入失败,创建出没有限制的用户。
疑问:我在今年1月4号就已经在 aosp 上看见了这个提交,为什么现在才放在安全公告里?
CVE-2024-0025 EoP High
发送非 PendingIntent 类型的 IntentSender 时避免携带 allowlist token。因为这个时候传入的 IIntentSender 实际上可能是 app 的一个 binder,再在上面调用 send 实际上相当于把 allowlist token 直接发送给了 app,然后这个 token 可以用来绕过很多的后台限制。
大概猜测一下利用方法:
创建一个自定义 IIntentSender
把它塞进一个 PendingIntent 里(PendingIntent 存放着一个 IIntentSender,这是它的真正实现)
把 PendingIntent 放进 notification deleteIntent 里
发送 notification 然后立刻取消,触发 deleteIntent 执行
PendingIntent.send() 把内部的 IIntentSender 传递到 sendIntentSender,因为这个 IIntentSender 不是 PendingIntentRecord,所以 IIntentSender.send() 被调用,此时会直接把 allowlist token 发给 app
妙啊,太妙了
疑问:1月4号我也看见了这个补丁,为什么现在才发出来?
CVE-2024-23705 EoP High
在 CVE-2024-0024 补丁的基础上限制 accountOptions 的大小,防止类似的问题。
CVE-2024-23708 EoP High
让系统发出的 toast 优先显示,保证其他应用不能通过发送大量 toast 的方式延后系统 toast 显示。同时把粘贴剪贴板文字的 toast 的显示时长加到 long。
System
(跳过 CVE-2024-23709)
CVE-2024-23706 EoP Critical
android health 相关的功能,禁止插入 record types 为空的 changelog。对这模块不是很熟,没看懂能干啥,也没看懂为啥定级这么高,待进一步分析。CVE 描述:In multiple locations, there is a possible bypass of health data permissions due to an improper input validation. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.
CVE-2024-0043 EoP High
在 PermissionController 后端禁止给 work profile 中的应用授权监听通知。
更新:据反馈,此漏洞触发方式是调用 CompanionDeviceMananger.requestNotificationAccess(),通过 companion device watch role 自动授予相关权限。
CVE-2024-23707 EoP High
系统设置里 SearchResultTrampoline 把原来的用 getCallingActivity 判断调用者改成用 getLaunchedFromPackage,前者返回的是哪个 activity 会收到 onActivityResult 回调,后者返回的是实际启动 Activity 的人(Pending intent 按创建者算)
2024-04-01
这次补丁给我的感觉就是,像愚人节特辑
Framework
CVE-2024-23710 EoP High
如果一个 app 和特权 app 共享 UID,并且设置了 sharedUserMaxSdkVersion 且处于生效状态,那么 sharedUserId 的设置是无效的,这个时候不应该把它标记为特权 app
CVE-2024-23713 EoP High
NotificationManagerService migrateNotificationFilter 内如果传入的 disallowApps 并没有被安装就跳过它。猜测问题是可以传入超长字符串阻止 mRequestedNotificationListeners 被序列化,从而阻止数据变更被保存?
CVE-2024-0022 ID High
CompanionDeviceManagerService requestNotificationAccess 没有检查传入的 user id,而是留了个 TODO 在那里(写到一半想着先这样完事然后就忘了?),然后直接用这个 user id 取得一个 PendingIntent 并返回,然后发送这个 pending intent 实际上可以跳到对应用户的通知访问管理页面。这个问题我很早就注意到了,但是反馈被标 duplicate 了。
CVE-2024-23712 DoS High
AppOpsService 里过滤未被定义的 proxyAttributionTag (这啥?),同时把一个包里最大能定义的
System
CVE-2024-23704 EoP High
如果当前用户有 DISALLOW_ADD_WIFI_CONFIG 这个限制,不允许打开 WifiDialogActivity。
CVE-2023-21267 ID High
去年12月的补丁,原问题是有 app pining 的时候尝试按电源键 lockdown 会因为逻辑错误跳过锁屏。原来的补丁有问题,回滚了之后修复了问题重新提交。
CVE-2024-0026/CVE-2024-0027 DoS High
大量 snoozed notifications 可能导致的拒绝服务问题(这个问题不是修过几次吗怎么又来了?)。判断 snooze notification 数量是否超限的时候要把已经存进文件里的(mPersistedSnoozedNotifications 和 mPersistedSnoozedNotificationsWithContext)一并纳入计算。还修复了 repostGroupSummary 方法里没有把通知从 mPersistedSnoozedNotifications 和 mPersistedSnoozedNotificationsWithContext 里移除的问题,会导致不需要的通知数据始终被序列化,可能被滥用导致资源耗尽拒绝服务。
2024-03-01
Framework
(跳过了 CVE-2024-0049/CVE-2024-0050/CVE-2024-0051,三个都是 libstagefright 中的内存错误)
CVE-2024-0044 EoP High
过滤应用的“安装者包名”(可以通过 pm install -i 指定)里的非法字符。此漏洞细节:攻击者可以在“安装者包名”内插入换行符,之后系统会把该字段原样写进 /data/system/packages.list 里,伪造出新的条目,之后可以通过伪造的条目欺骗 run-as 从而获得受害应用的权限,可以操作内部目录等。
发现者的博客写的很清楚了:https://rtx.meta.security/exploitation/2024/03/04/Android-run-as-forgery.html数据取证专用漏洞了属于是
CVE-2024-0046 EoP High
阻止系统应用被升级为 instant app(免安装应用 谷歌小程序)。免安装应用只能获得很小的一部分权限,攻击者可以利用该漏洞使特定系统应用的权限失效,从而绕过运营商限制。
CVE-2024-0048 EoP High
AccountManagerService 又上新补丁了。AccountManagerService 内部有一个超时机制,bind 到 Authenticator 后如果它长时间没响应就 unbind。搞笑的是,代码里根本没有任何地方启动这个机制,整个超时机制根本不会被触发。AccountManager API 最初在 Android 2.1 里加入,十几年过去了还能有这种问题,提前预定一个 2024 年最搞笑漏洞。
CVE-2024-0053 ID High
如果打印服务返回的自定义的打印机图标里的 URI 指向其他用户就把它过滤掉,防止看见其他用户的图像。最近这种漏洞真的好多好多。
CVE-2024-0047 DoS High
Android 14 中对设备管理(Android for Work 的功能)的重构中引入的 bug,设备管理员设置的 global restriction(对整个设备的限制)可能会被错误识别为 local restriction(对单个用户的限制),导致管理员无法撤销限制,设备功能受限。就算 bug 修好了,已经损坏的配置文件仍然是损坏的,为了让这些设备不清除数据就能正常工作还要加个 workaround。
System
(跳过了 CVE-2024-0039、CVE-2024-23717、CVE-2024-0045)
CVE-2023-40081 ID High
SystemUI 加载多媒体文件的图标时检查 URI 权限,防止跨用户读取
CVE-2024-0052 ID High
对 Android Health 这个功能不是很熟,看提交信息是如果调用者没有权限,部分 API 返回的数据要去除掉用户运动的路线信息。
2024-02-01
Framework
CVE-2024-0029 EoP High
DevicePolicyManagerService 里的逻辑 bug,保存禁止截屏的状态的时候只用了一个 int 保存被禁用的用户 id,在未受管用户启动的时候会覆盖掉之前设置的。
CVE-2024-0032 EoP High
DownloadStorageProvider 正确重写带有 includeHidden 参数的 queryChildDocuments()。
更多可参考 https://t.me/qianqianzhuang/4
CVE-2024-0034 EoP High
阻止壁纸服务从后台启动 activity。因为前台客户端绑定壁纸服务之后,会满足这一条豁免条件 “该应用的一项服务被另一个可见的应用绑定。绑定到该服务的应用必须保持可见,以便后台应用成功启动 activity。”
安卓 14 的 BAL 强化中限制了 target>=U 时必须指定 BIND_ALLOW_ACTIVITY_STARTS 才允许服务进程借用客户进程的状态启动,故该漏洞不影响 14
CVE-2024-0036 EoP High
startNextMatchingActivity 中设置 setAvoidMoveToFront 阻止后台启动 activity,具体可见 https://mp.weixin.qq.com/s/dbupJ3D-i0Da9ml1Pamu-w
这个接口漏了这么久都没人注意到确实挺难得的,当然我也没注意到,但是你看别人都没注意到,所以也不能怪我,你说是吧
CVE-2024-0038 EoP High
injectInputEventToInputFilter 中缺失调用者权限检查,只影响 14
CVE-2024-0041 EoP High
removePersistentDot 里的竞态条件,有可能导致 persistent dot 不会移除(然后会覆盖新显示的状态?)
CVE-2023-40122 & CVE-2024-0037 EoP High
检查自动填充相关传入的 URI,确保不会读取到其他用户的数据
CVE-2024-0040 ID High
MTP 协议处理中没有正确增大缓冲区大小,可能发生越界读
System
CVE-2024-0031 RCE Critical
蓝牙 GATT 协议栈里的越界写,理论可实现 RCE。这玩意真的几乎每个月都能搞一个 RCE 出来。
CVE-2024-0014 EoP High
该漏洞未公开补丁链接,似乎是 GMS 私有组件。漏洞描述:In startInstall of UpdateFetcher.java, there is a possible way to trigger a malicious config update due to a logic error. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.
CVE-2024-0033 EoP High
libbinder 打开 memfd 时指定 F_SEAL_GROW | F_SEAL_SHRINK 阻止后续其他进程更改大小造成错误
CVE-2024-0035 EoP High
TileService 返回 null 时正确释放资源,阻止绕过后台启动前台 activity 的限制。更多可以参考 https://wrlus.com/android-security/bindservice-error-handle/
CVE-2023-40093 ID High
升级 pdfium 到 Chrome 114.0.5735.130 的
CVE-2024-0030 ID High
蓝牙组件里不充分的检查可能造成越界读
2024-01-01
Framework
CVE-2023-21245 EoP High
阻止在设备设置向导完成之前进入锁屏,可以插入一张需要 PIN/PUK 码解锁的 SIM 卡复现。应该是可以绕过恢复出厂保护(FRP,Factory Reset Protection),也就是所谓的激活锁。
CVE-2024-0015 EoP High
保证 DreamService 配置的 settingsActivity 属于应用自身,防止调用到非公开的 activity 造成 launch anywhere。向上搜索可以发现 SettingsLib 的 DreamBackend launchSettings() 这个方法会直接 startActivity,这里在 Settings 里运行所以是 system 权限。
题外话:DreamService 是 Android 4.2 加入的,十几年过去了,相关代码在2024年1月还能出现这么简单直接的漏洞确实有点不可思议。这个补丁早在2022年就创建了,而且更新的版本列表里并没有最新的14,于是我去看了下14的代码发现确实已经合进了这个补丁,然后我搜索这个补丁,发现这个漏洞早在2022年就被确认并被授予 CVE-2022-20550 这个编号,但是谷歌当时不知道怎么想的只给了 moderate 评级然后只给 pixel 修了。。。
CVE-2024-0018 EoP High
libstagefright 里无符号数运算不当导致意外结果的漏洞。
CVE-2024-0019 ID High
System UI 进程重启后,如果在重启之前有应用在进行敏感操作,并且现在还没结束,那么仍然应该显示隐私指示器。
System
CVE-2024-0021 EoP High
禁止工作空间(work profile)内的应用监听通知,只给 13 14 更新了,应该是以前正常的功能,大版本迭代不小心引入。
CVE-2024-0017 ID High
Camera2 如果是被其他 app 启动,而且启动它的这个 app 没有位置权限,返回的照片 exif 信息里不应该包含位置信息。之前的代码里有做判断,但是有问题,getCallingPackage 返回 null 的时候一律判定为不是 app 启动不需要过滤,但是如果 app 用 startActivity 而非 startActivityForResult ,getCallingPackage 本来就会返回 null,算是逻辑 bug。
CVE-2024-0020 ID High
设置铃声的时候检查传入的 URI,防止指向别的用户的数据。最近这种问题似乎很多很多。
2023-12-01
可能在野被积极利用的漏洞:CVE-2023-33063、CVE-2023-33107、CVE-2023-33106
Framework
CVE-2023-40077 EOP Critical
libstagefright 里的 UAF 问题
CVE-2023-40076 ID Critical
CredentialManagerUi 跑在 system_server,且创建 PendingIntent 的时候没有指定用户,默认会去用 context 对应的用户,然后指向 USER 0,其他用户拿到这个 PendingIntent 然后 send 就能跳转到主用户的凭据管理页面。不知道为什么定级这么高
CVE-2023-40079 EoP High
ShortcutService 启动 app 给出的 IntentSender 时指定 MODE_BACKGROUND_ACTIVITY_START_DENIED 防止 BAL
CVE-2023-40089 EoP High
DevicePolicyService.getCredentialManagerPolicy 需要传入 userId。感觉这个漏洞的实际影响情况可能是有跨用户权限的进程需要拿到其他用户的东西但是因为之前的设计问题所以拿不到?
CVE-2023-40094 EoP High
keyguardGoingAway 这个方法没检查调用者权限,然后所有 app 都能调用这个方法解除锁屏。
CVE-2023-40095 EoP High
又是一个忘了指定禁止 BAL 造成的 BAL bypass,这次是 requestGeofence 。
CVE-2023-40096 EoP High
更改的文件比较多,看起来是设置录音权限为仅前台时应用退到后台还会继续录音的问题。
CVE-2023-40103 EoP High
看提交信息是用 ApkAssets 的时候改成用基于引用计数的指针,防止 UAF/double free
CVE-2023-45774 EoP High
ShortcutService 校验传入的 uri。看 cve 描述是能指定其他用户的图像。
CVE-2023-45777 EoP High最看不懂的一集
给了两个提交,第一个提交和九月份的 CVE-2023-35669 补丁是一样的,当时这个漏洞描述是 “there is a possible way to control other running activities”,第二个提交只是把弃用不带类型的 getParcelable 改成类型安全的,然而底下明明就有手动的类型检查,我觉得缺这个提交也没法利用,不知道为什么又分配了一个 CVE。看这个 CVE 的描述是能 Launch Anywhere ,不知道怎么能做到。
AccountManagerService 里使用不带参数类型的 getParcelable() 方法可能会导致反序列化出非预期的对象,调用到其他类的构造方法,导致 parcel 数据被修改,绕过 checkKeyIntentParceledCorrectly 的缓解措施。PoC: https://github.com/michalbednarski/TheLastBundleMismatch
CVE-2023-21267 ID High
在 lockdown 模式始终展示锁屏。看起来是有 app pinning 的时候尝试 lockdown 会因为逻辑错误跳过显示锁屏。
CVE-2023-40073 ID High
Notification style 相关的 uri 校验
CVE-2023-40081 ID High
MediaDataManager URI 校验。截止目前已经是第三个了。
CVE-2023-40092 ID High
ShortcutService 多个函数检查 user id,防止跨用户操作
CVE-2023-40074 DoS High
PersistableBundle 忽略无效数据,防止拒绝服务。
CVE-2023-40075 DoS High
限制能通过 addDynamicShortcuts 添加的快捷方式的数量。
System
这里面大部分洞都是比较传统的内存损坏,所以跳过了很多漏洞。
CVE-2023-40088 RCE Critical
蓝牙相关,com_android_bluetooth_btservice_AdapterService free callbackEnv 这个指针后没有置空,可能发生 UAF。不知道是不是我的错觉,总感觉近几个月能 RCE 的漏洞好像变多了。
CVE-2023-40097 EoP High
禁止创建目标为 Chooser 的快捷方式。没看懂有什么意义,看 CVE 描述是 URI grant。
CVE-2023-21394 ID High
添加 phone account 时检查给定的 URI,防止跨用户读取图片。嗯,第四个了。
CVE-2023-35668 ID High
又是 URI 相关的跨用户读取,这次还是 Notification 里……
CVE-2023-40098 ID High
看起来是有个叫 priority conversation widget 的东西,其他用户添加这个 widget 能看见主用户的通知。解决方法就是不让其他用户添加。
