Facebook任意JS代码执行漏洞原理与利用分析

前言

最近FB Android应用爆出了一个任意JS代码执行的漏洞,着手分析了一下，也挺有趣，分享学习一下,有不当之处还请包涵，欢迎讨论学习。

0x00 概述

测试环境：

Android 4.4 nexus 5

测试版本：

Facebook com.facebook.katana_186.0.0.48.81.apk

测试版本下载：

9Apps

0x01 漏洞原理

根据漏洞的简单描述,得知漏洞起因依旧是deeplink的问题,如果对这方面知识不熟悉，可以参考我的其他文章。

既然是deeplink,切入的思路从AndroidManifest.xml也是比较正常的思路。通过搜索”<data”、”android:scheme”等关键词,可以定位到关键的activity：

分析可知:

该Apk有三个scheme,但只有两个有属性android:name=”android.intent.category.BROWSABLE，因此可以通过浏览器打开的只有”fb”、”dialtone”；

自然,切入com.facebook.katana.IntentUriHandler查看究竟；

这里有个小问题,直接打开jeb是无法找到这个类的，直接找台root手机在内存中把dex抠出来，或者在app的data/dex目录下都可以拿到dex文件；

拿到了总共12个dex文件；

全部加载进jeb，搜索关键字即可。

但是存在问题就是分散的dex，jeb无法进行关联，因此大部分会反编译失败，只能阅读smali代码，或者另一种思路，即是将其合并成一个完整的dex。

这里我们进行另一个思路，我们可以全局搜索fb://关键字，看看有什么关键的信息。

搜索后我们发现assets/Bundle-fb4.js.hbc，通过分析该文件，找到了大量的fb协议deeplink。

我们再继续搜索关键词embedded_native_browser、ama等等。

发现另一个文件react_native_routes.json存在大量可利用的特征：

从名字也可知道这是关键的路由url,由于文件比较长，我们可以自动化脚本处理一下，自动化生成deeplink。

结果节选：

总共有521个链接。

0x02 漏洞利用

根据上面的脚本跑出来的url,可以在其基础上，随机初始化参数后，自动化跑模拟器或真机，观察结果。

Payload：

adb shell am start -a "android.intent.action.VIEW" -d "fb_url"

找出其中一些比较有利用价值的payload:

由于墙内的原因，最终效果引用原作者的图。

XSS 攻击Payload

LFI 攻击Payload

0x03 漏洞防御

1、尽量不要使用 setJavaScriptEnable(true)。

2、尽量使用加密的方式存储deeplink路由信息等等关键信息。

3、进行非法来源检测。

4、不要点击来历不明的超链接。

0x04 参考

Breaking the Facebook for Android application

*本文作者：Tasfa，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。