Android系统服务即由Android提供的各种服务，比如WIFI，多媒体，短信等等，几乎所有的Android应用都要使用到系统服务。系统服务在为用户提供便利的同时，也存在着一些风险。比如，如果一个应用获取到了系统服务中的短信服务，那么他就可能会查看用户的短信信息，用户隐私就有可能暴露。此外，如果在使用系统服务的过程中，使用了异常的外部数据，有可能会导致系统服务崩溃，甚至是远程代码执行，内存破坏等等严重后果。因此Android系统服务的安全问题需要重视。

在以前的工作发现主要的漏洞和攻击主要包括特权提升攻击，恶意软件攻击，重打包，组件劫持攻击等类型。尽管安全研究人员已经针对Android上层app的漏洞挖掘做了大量的工作，但是针对Android系统服务的漏洞挖掘一直被安全人员所普遍忽视。

通过Binder机制可以对Android的系统服务漏洞进行深入的挖掘。本文基于Android的Binder机制编写了一套漏洞挖掘框架。

下面我们首先介绍一下先验知识。

1 基础知识1.1 Android的Binder机制

1.1.1 Binder概述

Binder其实也不是Android提出来的一套新的进程间通信机制，它是基于OpenBinder来实现的。Binder是一种进程间通信机制，它是一种类似于COM和CORBA分布式组件架构，是提供远程过程调用（RPC）功能。

什么是Binder

直观来说，Binder是Android中的一个类，它继承了IBinder接口 从IPC角度来说，Binder是Android中的一种跨进程通信方式，Binder还可以理解为一种虚拟的物理设备，它的设备驱动是/dev/binder，该通信方式在Linux中没有 从Android Framework角度来说，Binder是ServiceManager连接各种Manager（ActivityManager、WindowManager，etc）和相应ManagerService的桥梁 从Android应用层来说，Binder是客户端和服务端进行通信的媒介，当你bindService的时候，服务端会返回一个包含了服务端业务调用的Binder对象，通过这个Binder对象，客户端就可以获取服务端提供的服务或者数据，这里的服务包括普通服务和基于AIDL的服务 
在Android系统的Binder机制中，由一系统组件组成，分别是Client、Server、Service Manager和Binder驱动程序，其中Client、Server和Service Manager运行在用户空间，Binder驱动程序运行内核空间，如图1-1所示。Binder就是一种把这四个组件粘合在一起的粘结剂，其中核心组件便是Binder驱动程序了，Service Manager提供了辅助管理的功能，Client和Server正是在Binder驱动和Service Manager提供的基础设施上，进行Client-Server之间的通信。Service Manager和Binder驱动已经在Android平台中实现好，开发者只要按照规范实现自己的Client和Server组件就可以了。 

这里写图片描述

图1-1 Binder架构图

1.1.2 为什么使用Binder 
Android中有大量的CS（Client-Server）应用方式，这就要求Android内部提供IPC *** ，而linux所支持的进程通信方式有两个问题：性能和安全性。 
目前linux支持的IPC包括传统的管道，System V IPC(消息队列/共享内存/信号量)，以及socket，但只有socket支持Client-Server的通信方式，由于socket是一套通用的 *** 通信方式，其传输效率低下切有很大的开销，比如socket的连接建立过程和中断连接过程都是有一定开销的。消息队列和管道采用存储-转发方式，即数据先从发送方缓存区拷贝到内核开辟的缓存区中，然后再从内核缓存区拷贝到接收方缓存区，至少有两次拷贝过程。共享内存虽然无需拷贝，但控制复杂，难以使用。 
在安全性方面，Android作为一个开放式，拥有众多开发者的的平台，应用程序的来源广泛，确保智能终端的安全是非常重要的。终端用户不希望从网上下载的程序在不知情的情况下偷窥隐私数据，连接无线 *** ，长期操作底层设备导致电池很快耗尽等等。传统IPC没有任何安全措施，完全依赖上层协议来确保。首先传统IPC的接收方无法获得对方进程可靠的UID/PID（用户ID/进程ID），从而无法鉴别对方身份。Android为每个安装好的应用程序分配了自己的UID，故进程的UID是鉴别进程身份的重要标志。使用传统IPC只能由用户在数据包里填入UID/PID，但这样不可靠，容易被恶意程序利用。可靠的身份标记只有由IPC机制本身在内核中添加。其次传统IPC访问接入点是开放的，无法建立私有通道。比如命名管道的名称，system V的键值，socket的ip地址或文件名都是开放的，只要知道这些接入点的程序都可以和对端建立连接，不管怎样都无法阻止恶意程序通过猜测接收方地址获得连接。