即使當所有資訊都被披露,安卓root應用開發商還是存在不為人知的一面。
root也為漏洞利用打開友善之門
最新研究發現,通過推廣強大的root利用程式,為數不多的應用程式經銷商正在将數以百萬計的安卓使用者置于十分危險的境地。root程式會很容易被逆向工程,讓惡意軟體利用漏洞利用工具繞過安卓的重要安全檢測。
周四,來自加州河濱分校的研究人員在acm計算機與通信安全會議上發表了題為《安卓root及其供應商:一把雙刃劍》的報告,他們花了一個月的空閑時間逆向工程了一個root工具包含的167個漏洞。最終研究者得出結論,root供應商通過提供了大量種類繁多、高度定制的漏洞利用很容易導緻逆向工程,并難以檢測,這提升了所有安卓使用者的安全風險。
而在中國,安卓root非常流行,主流開發商都參與到了root工具開發,比如root精靈、iroot、360的一鍵root以及kingroot等等,這些root程式幫助安卓使用者不受手機營運商或者制造商的限制。為此,root供應商們針對運作特定版本安卓系統的特定硬體裝置收集大量的漏洞利用。
手機防毒軟體檢測結果
供應商的代碼通常包括已知的最先進的漏洞利用,例如towelroot(又稱futex)、pingpong root和gingerbreak。這些漏洞利用正常情況下都會被安卓殺毒應用程式封鎖。但是由于root供應商進行了改進,這些專業開發的漏洞利用便不容易被檢測到。而更糟的情況是,許多現成的漏洞利用被直接用于攻擊未公開的安卓安全缺陷。
root:一把雙刃劍
來自加州大學河濱分校的研究者在論文中提出:
“我們發現他們不僅僅努力融入和整合已知漏洞利用,為保持競争力同時還開發新的利用。然而,這些精緻的漏洞利用并沒有得到很好的保護,一旦落入錯誤的人手中将會造成極其危險的影響。”
研究者将相同的167個漏洞利用捆綁放進一個自主研發的應用程式當中,檢測安卓殺毒程式(av)是否能夠檢測到。每個利用以三種不同方式暴露于殺毒程式面前——從root供應商網站下載下傳的原始exp,一個直接暴露于av引擎的脫殼exp,以及惡意軟體經常使用的加殼exp。檢測結果顯示,四款av産品隻有來自趨勢科技的一個程式檢測到了exp,其測試結果為167中的13個exp,并且都是脫殼當中。
·n:沒有檢測出威脅 ·檢測中的所有反病毒軟體都是最新版本
研究人員在報告中寫道:
“這些反病毒軟體沒有檢測出任何加殼exp的結果真令人失望。這可能是由于供應商自定義模糊程式,exp沒有被識别出。然而,即使是脫殼exp,隻有趨勢科技從167個當中識别出13個檔案标記為惡意。值得一提的是,高度危險的futex利用與pingpong root利用都沒有被任何反病毒軟體抓到。”
其他的av程式分别來自于lookout、avg和賽門鐵克。需要說明一點,這份報告寫于今年5月,測試中的這些産品可能在這之後進行了更新,或許已經可以檢測出全部、或一部分的利用。
即使我們的樂觀推測為真,報告中仍然非常強調root應用供應商本應該充分保護其包含的可利用漏洞,但在實際中這些漏洞可以被惡意程式作者輕而易舉的拿來用。
作者:小太陽花
來源:51cto