Android漏洞利用方式之NFC浅析

author：行之@ 360 vulpecker team

0x00 前言

前两天在drops上看到一篇文章,简单介绍了Android平台上结合二维码实现的漏洞利用[1]。除二维码以外,文中讲到的漏洞利用都可以通过NFC实现。通过NFC还可以实现更多本地漏洞的利用。这篇文章的目的在于科普,使更多用户意识到NFC在开启状态下,可以实现很多攻击,提醒用户在不使用时及时关闭。

0x01 什么是NFC

NFC,全称 Near Field Communication。NFC是一套近场通信协议,可以通过触碰或近距离实现两台设备间数据通信。由于其具有低功耗、便捷、成本低等特点,被广泛应用于移动支付。

0x02 NFC工作原理

基于NFC的设备基本上有两种可能的通信方式:Passive、Active。

Passive模式,一般指的是开启NFC的设备读取NFC Tag。

Active模式,一般指的是两台开启了NFC的设备之间的端对端的通信。这种模式下,可以便捷的传递二进制文件和多媒体文件等。

NFC使用NDEF(NFC Data Exchange Format)格式标准传递数据,这种格式是一种简单的二进制消息格式,这种消息格式包含多种类型:普通文本、url链接等。下图是TagWriter[2]工具所支持的数据格式,通过这个软件可以向NFC Tag中写入各种类型的数据来实现攻击。

Android NFC协议栈可以分为三部分:Kernel、NFC Services以及Tag本身。Kernel层包含libpn544_fw.so,这是NFC的驱动。它会响应一些必要的NFC信号。在Android里,NFC服务是由com.android.nfc这个应用提供的,它依赖三个主要的驱动组件: libnfc_jni.so、libnfc_ndef.so和libnfc.so。这三个组件分别负责JNI、NDEF和其他NFC相关的数据部分。

当NFC Tag (或者开启了NFC的设备)接近一台开启了NFC的Android 设备后,Kernel层的libpn544_fw.so感应到NFC信号,会调起NFC服务,一旦NFC服务被调用,这些服务便会接收NFC数据并分类存储。这里我们重点关注的是libnfc_ndef部分的数据。NFC Tag中的数据便是在这里被解析处理。www格式的数据会打开浏览器处理,mailto:协议会调用邮件客户端处理,而一些异常的畸形数据将导致NFCService拒绝服务等。

0x03 基于NFC的Android漏洞利用

Android里很多漏洞,都可以通过访问一个恶意网页实现利用。基于这点,这篇文章所有的漏洞利用都是将一个恶意url写入NFC Tag实现的。

一、使用drozer模块下发木马安装(安装需要用户点击),并实现远控。只需要把drozer server地址写入NFC Tag中,轻触便可强制浏览器打开url,下载安装,并通过浏览器唤起木马程序。

二、利用系统浏览器WebView远程代码执行漏洞,实现root提权,并静默安装木马远控。

同样可以把攻击者的url写入NFC Tag,强制浏览器打开恶意网页。

三、拒绝服务攻击。

拒绝服务攻击从两方面介绍:应用和系统。

应用:最新版Chrome存在两个拒绝服务漏洞。

1.访问如下内容的网页,即可导致chrome拒绝服务崩溃退出。

<html>
<script>
function t(){w.location = 'http://www.haoso.com/'}
function test()
{
  w = open()
  w.opener = null
  w.document.write('<h1>done</h1>')
  w.t = t
  w.setInterval(t, 10)
}
</script>
<body onload="test()">    
</body>
</html>

可以使用TagWriter将这个网页的URL写在NFC Tag里,如下图所示,保存并写入。然后直接将这个NFC Tag靠近手机,即可强制chrome访问如下网页,崩溃退出。