[[197327]]

團隊介紹

360 Vulpecker團隊 隸屬360信息安全部，致力于Android應用和系統層漏洞挖掘以及其他Android方面的安全研究。我們通過對CTS框架的研究，編寫了一個關于漏洞檢測方面的文檔,以下為文章的全文。

CTS 全稱 Compatibility Test Suite（兼容性測試）,Google開發CTS框架的意義在于讓各類Android設備廠商能夠開發出兼容性更好的設備。其中有一些模塊的關于手機安全方面的檢測,本文以此為主題,進行了漏洞檢測方面的研究。包括如何下載編譯,以及分析了其中的security模塊是如何調度使用的。

1. CTS運行流程

1.1  下載編譯Android CTS源碼

通過git clone https://android.googlesource.com/platform/cts -b xxxxxxx 可以下載cts并且進行編譯,或者可以下載完整的Android 源碼進行編譯，編譯好源碼之后再編譯CTS,命令是make cts；在/home/venscor/AndroidSource/least/out/host/linux-x86/cts下生成關于CTS的幾個文件，其中cts-tradefed可以啟動CTS測試程序。

1.2   CTS 運行環境

Android官網上對CTS運行環境要求嚴格，但是我們目前關注的是測試安全模塊，所以只要基本的測試環境就可以了。例如打開adb，允許adb安裝apk，不設置鎖屏等。

1.3  CTS運行流程

在源碼中可以看到,cts-tradefed實際上是個腳本文件。首先做些環境檢查，滿足運行環境后，去android-cts/tool/目錄下加載對應的jar文件，從android-cts/lib加載所有的需要庫文件。***，加載android-cts/testcase/目錄下的所有jar文件，然后執行。

CTS console功能的實現在CompatibilityConsole類中，也是程序的加載點

1.4  啟動腳本進入CTS測試程序的console

CTS測試套件由很多plans組成，plans又可以由很多subplan和modules組成，我們只關心和CTS和安全相關的的東西，即和安全相關的modules。其中 和安全相關的測試模塊 有4個：

CtsAppSecurityHostTestCases

CtsJdwpSecurityHostTestCases

CtsSecurityHostTestCases

CtsSecurityTestCases

其中，CtsAppSecurityHostTestCases、CtsJdwpSecurityHostTestCases不包含CVE，其實是一些App層安全檢測和安全策略檢測，我們可以先跳過這兩個模塊著重分析CtsSecurityHostTestCases和CtsSecurityTestCases。

2. CTS中的安全模塊

2.1 CtsSecurityHostTestCases模塊

CtsSecurityHostTestCases模塊對應的源碼路徑在：./hostsidetests/security。即在cts console中通過輸入run cts --module CtsSecurityHostTestCasess加載起來的。

CtsSecurityHostTestCases主要測試Linux內核和各類驅動的漏洞，都是以C/C++實現的漏洞檢測PoC。

2.1.1 測試流程

可以通過run cts --module CtsSecurityHostTestCases來測試整個模塊，也可以通過run cts --module CtsSecurityHostTestCases –test 來測試具體的方法。例如要測試CVE_2016_8451，可以通過--test android.security.cts.Poc16_12#testPocCVE_2016_8451來進行。

下面我們通過一個例子看具體的測試流程，以對CVE_2016_8460的檢測為例，來具體分析下測試過程。在CTS下，運行run cts --module CtsSecurityHostTestCases --test android.security.cts.Poc16_12#testPocCVE_2016_8460。程序將運行到CtsSecurityHostTestCases模塊下的testPocCVE_2016_8460()函數。

其實這個測試過程，就是將CtsSecurityHostTestCases模塊下對應的可執行文件CVE_2016_8460 push到手機的sdcard，然后執行此可執行文件，即執行poc檢測程序。

2.1.2 結果管理

CTS測試完成后，會生成可視化的結果，結果存在cts/android-cts/results目錄下，分別有xml格式和.zip打包格式。所以對安全模塊的結果管理也是一樣的。

結果頁面里面只有兩種結果，一是pass，表示測試通過，說明不存在漏洞。二是fail，出現這種結果，可能原因有兩種，一是測試環境有問題，二是存在漏洞，可以看報告邊上的詳細顯示。

2.1.3 添加與剝離testcase

按照CtsSecurityHostTestCases模塊的測試原理，添加新的測試case時，完全可以剝離CTS的測試框架，直接使用C/C+編寫測試代碼，編譯完成后添加到/data/local/tmp目錄然后修改執行權限，執行即可。

對于CtsSecurityHostTestCases模塊中現有的對漏洞的檢測代碼，也可以直接為我們所用。我們可以下載CTS的源碼查看漏洞檢測PoC的代碼，可以自己編譯也可以直接使用CTS編譯好的可執行文件來檢測對應的漏洞。

2.2 CtsSecurityTestCases模塊

CtsSecurityTestCases模塊基于動態檢測，采用的是觸發漏洞來檢測的方式，使用Java或者JNI來觸發漏洞，直到數據被傳遞到底層漏洞位置。這個模塊所在源碼的路徑是.test/test/security。

2.2.1 測試流程

測試流程和CtsSecurityHostTestCases模塊一致，其實這也是CTS框架的測試流程。測試整個模塊采用run cts --module的方式，而使用測試模塊里面具體的方法來執行測試時。使用run cts --module <module> --test <package.class>的方式。

以下以檢測cve_2016_3755為例說明此模塊運行過程。

首先，在CTS框架中輸入run cts --module CtsSecurityTestCases --test android.security.cts. StagefrightTest#testStagefright_cve_2016_3755。

然后，CTS框架會找到testStagefright_cve_2016_3755()方法并執行測試。

2.2.2 結果管理

CtsSecurityTestCases模塊也受CTS統一的結果管理。所以上面CtsSecurityHostTestCases模塊一樣。測試結果出現在xml文件中，pass表示成功不存在漏洞，fail給出失敗原因。

對測試結果的監控都是通過assertXXX()方法來進行的，通過測試過程中的行為來確定漏洞情況。例如：

2.2.3添加與剝離testcase

添加case：在這模式下添加case，需要知道知道怎么觸發漏洞。CtsSecurityTestCases模塊應該是基于Android上的JUnit測試程序的，所以要知道應該可以按照編寫JUnit的方式添加測試的代碼，然后重新build。其實，編寫測試代碼時候如果可以脫離CTS的源碼依賴或者可以引用CTS的jar，應該可以直接脫離CTS架構。

剝離case：和添加一個道理，需要讓提取的代碼脫離依賴可執行。

3. 總結

在Android手機碎片化嚴重的今天，各個手機廠商的代碼質量也是良莠不齊。所以Android手機的安全生存在較為復雜的生態環境，因此Android手機方面的漏洞檢測是十分必要的。本文對谷歌官方開源的CTS框架進行了調研，對Android手機的漏洞檢測方面進行了研究。希望能拋磚引玉，對Anroid安全研究能帶來更多的幫助。