Android Security Bulletin Analysis (September 2021)

• Reference: https://source.android.google.cn/security/bulletin/2021-09-01

2021-09-01 security patch level vulnerability details

Framework

CVE-2021-0687

• Layout导致的远程拒绝服务漏洞，具体细节仍在调查中（与发现者交流）

CVE-2021-0595

CVE-2021-0683

• am命令的dumpheap功能存在任意文件删除漏洞，会以system_server的身份删除攻击者指定文件名的文件

int runTraceIpcStop(PrintWriter pw) throws RemoteException {
    final PrintWriter err = getErrPrintWriter();
    String opt;
    String filename = null;
    while ((opt=getNextOption()) != null) {
        if (opt.equals("--dump-file")) {
            filename = getNextArgRequired();
        } else {
            err.println("Error: Unknown option: " + opt);
            return -1;
        }
    }
    if (filename == null) {
        err.println("Error: Specify filename to dump logs to.");
        return -1;
    }
    File file = new File(filename);
    file.delete();
    //...
}

CVE-2021-0684

CVE-2021-0685

• 移除了ParsedIntentInfo的Parcelable Creator，避免在Parcel传递数组时的size不匹配导致的错误。

CVE-2021-0688

• 锁定屏幕的lockNow和updateLockscreenTimeout存在条件竞争，可能导致在lockNow执行后未立即锁屏，而是锁屏超时时间被updateLockscreenTimeout的结果覆盖。

CVE-2021-0686

• getDefaultSmsPackage接口添加跨用户检查。

Media Framework

CVE-2021-0689

CVE-2021-0690

System

CVE-2021-0598

• NFC的确认连接界面ConfirmConnectActivity增加SYSTEM_FLAG_HIDE_NON_SYSTEM_OVERLAY_WINDOWS标志

CVE-2021-0692

• 对FirstScreenBroadcast的PendingIntent设置FLAG_IMMUTABLE标志

CVE-2021-0428

• SubscriptionController和SubscriptionInfo中多个接口存在标识符泄露漏洞，包括以下接口：
  • SubscriptionInfo.getCardString
  • SubscriptionInfo.getIccId
  • SubscriptionController.getSubscriptionInfoListFromCacheHelper

CVE-2021-0644

• SubscriptionInfo的mGroupUUID字段可被仅有READ_PHONE_STATE权限的应用用于不可重置的标识符，要求具有READ_DEVICE_IDENTIFIERS的权限才能访问此字段。

CVE-2021-0682

CVE-2021-0693

• Shell应用(com.android.shell)的HeapDumpProvider对外暴露，会导致在开发者选项中点击“收集堆转储信息”后，被第三方应用直接读取到dump文件。

         <provider android:name=".HeapDumpProvider"
                   android:authorities="com.android.shell.heapdump"
                   android:grantUriPermissions="true"
-                  android:exported="true" />
+                  android:exported="false" />

CVE-2021-0691

• 在Android 11的SEPolicy中错误地允许了system_app标签写入apk_data_file标签文件，这将导致本地文件写入转化为代码执行，通过写入/data/app中某应用的base.apk或者lib64下的动态库文件可实现。

 # Settings need to access app name and icon from asec
 allow system_app asec_apk_file:file r_file_perms;
 
-# Allow system_app (adb data loader) to write data to /data/incremental
-allow system_app apk_data_file:file write;
-
-# Allow system app (adb data loader) to read logs
-allow system_app incremental_control_file:file r_file_perms;
-
 # Allow system apps (like Settings) to interact with statsd
 binder_call(system_app, statsd)