• 标题: FIRMSCOPE: Automatic Uncovering of Privilege-Escalation Vulnerabilities in Pre-Installed Apps in Android Firmware
  • 作者: Mohamed Elsabagh, Ryan Johnson,..,Chaoshun Zuo
  • 关键字: 论文笔记, 系统安全, 安卓应用, 提权漏洞
  • 来源: sec20
  • 链接:
  • 引用: Elsabagh, Mohamed, Ryan Johnson, Angelos Stavrou, Chaoshun Zuo, Qingchuan Zhao, and Zhiqiang Lin. “FIRMSCOPE: Automatic Uncovering of Privilege-Escalation Vulnerabilities in Pre-Installed Apps in Android Firmware.” In 29th USENIX Security Symposium (USENIX Security 20), 2379–96, 2020. https://www.usenix.org/conference/usenixsecurity20/presentation/elsabagh.

摘要

Android设备在固件中预装了特权应用程序——其中一些是必不可少的系统组件,另一些则提供了用户无法禁用的独特用户体验。这些预安装的应用程序被认为是安全的,因为它们是由设备供应商自己而不是第三方亲自挑选或开发的。不幸的是,我们发现大量Android固件在预装的应用程序中存在权限提升漏洞,使得攻击者能够执行未经授权的操作,如执行任意命令、录制设备音频和屏幕以及访问个人数据等等。为了发现这些漏洞,我们构建了FIRMSCOPE,这是一个新的静态分析系统,它通过高效实用的上下文敏感、流敏感、字段敏感和部分对象敏感的污染分析来分析Android固件,以暴露预安装应用程序中不需要的功能。我们的实验结果表明,FIRMSCOPE在检测能力和运行时性能方面都明显优于最先进的Android污点分析解决方案。我们使用FIRMSCOPE扫描了来自100多家Android厂商的2017年Android固件映像331342个预装应用程序,从v4.0到v9.0。其中,FIRMSCOPE发现了850个独特的权限提升漏洞,其中许多漏洞是可利用的,且为0 day。

介绍

现实问题

预安装的应用程序具有预批准的敏感权限和功能,这些权限和功能对于从应用程序商店下载的用户级应用程序不可用,并且通常不需要用户批准或同意才能运行。在大多数情况下,即使是被预装的应用程序也无法被用户预先安装,或者被系统发现是恶意的。当用户面临这些威胁时,他们的选择是有限的:等待更新,希望能修复易受攻击的预装应用程序;或者通过对设备进行根目录删除应用程序,从而可能使其保修失效并损害其安全性。

通过固件分发的软件会使最终用户暴露在他们不知道的严重安全风险中,在许多情况下甚至对设备制造商也是如此。

待解决的问题

迫切需要解决来自通过移动设备固件映像分发的易受攻击或恶意软件的供应链威胁。

benchmark:

DroidBench 2.0 [12], and is 2X to 24X faster than FlowDroid [9], Amandroid [10], and DroidSafe [11].

主要贡献

本文提出了FIRMSCOPE,一个可扩展的、全面的、自动化的静态污染分析系统,用于识别Android固件中存在的恶意和(非)故意不安全的预安装应用程序中的固件漏洞。并非所有的漏洞都是我们感兴趣的,相反,我们特别关注于检测预装应用程序中的权限扩展漏洞,其中敏感行为可由外部调用(例如,由第三方应用程序或远程方调用)。例如,一个未经授权的第三方应用程序,通过利用预装应用程序的不安全接口,以系统用户的身份执行命令。

我们对FIRMSCOPE从2017年Android固件映像(从v4.0到v9.0)的331342个预装应用进行了评估,涵盖了100多家Android供应商,其中包括全球排名前20的Android供应商。FIRMSCOPE在1547个固件(占所分析映像的77%)中发现了850个独特的权限提升漏洞(总共3483个)。这些漏洞包括代码和命令注入;获取调制解调器日志和Logcat日志;从设备中擦除所有用户数据(即出厂重置);访问、发送和操作呼叫和短信;(取消)安装任意应用程序;录制设备屏幕和麦克风等。协调披露我们的调查结果仍在进行中。到目前为止,我们已经向受影响的供应商披露了Android 7到9中的370个漏洞,并收到了147个CVE。 简而言之,我们作出以下贡献

  • 新颖的系统。我们介绍了FIRMSCOPE,一个可扩展的、全面的、自动化的系统,用于大规模识别安卓固件中预安装应用程序中的特权扩展漏洞。
  • 高效技术。我们通过高效的按需定制流、上下文、字段敏感和部分对象敏感的分析,显著提高了现有静态污染分析的可伸缩性和准确性。
  • 大规模评估。我们使用来自2000多个固件的数十万个预安装应用程序对FIRMSCOPE进行评估,其中发现了3000多个权限提升漏洞。

之前研究的不足

方法

实验评估

数据集

实验方法

实验效果

讨论

总结

作者介绍

收获

本文优势

可扩展结合的点

论文评价

评分: ⭐⭐⭐⭐⭐

评价:

参考资料及附件