即使當所有信息都被披露,安卓Root應用開發商還是存在不為人知的一面。
ROOT也為漏洞利用打開方便之門
最新研究發現,通過推廣強大的Root利用程序,為數不多的應用程序經銷商正在將數以百萬計的安卓用戶置于十分危險的境地。Root程序會很容易被逆向工程,讓惡意軟件利用漏洞利用工具繞過安卓的重要安全檢測。
周四,來自加州河濱分校的研究人員在ACM計算機與通信安全會議上發表了題為《安卓Root及其供應商:一把雙刃劍》的報告,他們花了一個月的空閑時間逆向工程了一個Root工具包含的167個漏洞。最終研究者得出結論,root供應商通過提供了大量種類繁多、高度定制的漏洞利用很容易導致逆向工程,并難以檢測,這提升了所有安卓用戶的安全風險。
而在中國,安卓Root非常流行,主流開發商都參與到了Root工具開發,比如Root精靈、IRoot、360的一鍵Root以及Kingroot等等,這些Root程序幫助安卓用戶不受手機運營商或者制造商的限制。為此,Root供應商們針對運行特定版本安卓系統的特定硬件設備收集大量的漏洞利用。
手機殺毒軟件檢測結果
供應商的代碼通常包括已知的最先進的漏洞利用,例如TowelRoot(又稱futex)、Pingpong Root和Gingerbreak。這些漏洞利用正常情況下都會被安卓殺毒應用程序封鎖。但是由于Root供應商進行了改進,這些專業開發的漏洞利用便不容易被檢測到。而更糟的情況是,許多現成的漏洞利用被直接用于攻擊未公開的安卓安全缺陷。
ROOT:一把雙刃劍
來自加州大學河濱分校的研究者在論文中提出:
“我們發現他們不僅僅努力融入和整合已知漏洞利用,為保持競爭力同時還開發新的利用。然而,這些精致的漏洞利用并沒有得到很好的保護,一旦落入錯誤的人手中將會造成極其危險的影響。”
研究者將相同的167個漏洞利用捆綁放進一個自主研發的應用程序當中,檢測安卓殺毒程序(AV)是否能夠檢測到。每個利用以三種不同方式暴露于殺毒程序面前——從root供應商網站下載的原始exp,一個直接暴露于AV引擎的脫殼exp,以及惡意軟件經常使用的加殼exp。檢測結果顯示,四款AV產品只有來自趨勢科技的一個程序檢測到了exp,其測試結果為167中的13個exp,并且都是脫殼當中。
·N:沒有檢測出威脅 ·檢測中的所有反病毒軟件都是最新版本
研究人員在報告中寫道:
“這些反病毒軟件沒有檢測出任何加殼exp的結果真令人失望。這可能是由于供應商自定義模糊程序,exp沒有被識別出。然而,即使是脫殼exp,只有趨勢科技從167個當中識別出13個文件標記為惡意。值得一提的是,高度危險的futex利用與PingPong root利用都沒有被任何反病毒軟件抓到。”
其他的AV程序分別來自于Lookout、AVG和賽門鐵克。需要說明一點,這份報告寫于今年5月,測試中的這些產品可能在這之后進行了更新,或許已經可以檢測出全部、或一部分的利用。
即使我們的樂觀推測為真,報告中仍然非常強調root應用供應商本應該充分保護其包含的可利用漏洞,但在實際中這些漏洞可以被惡意程序作者輕而易舉的拿來用。
京公網安備 11010502049343號