ROOT工具為漏洞利用大開“方便之門”

責(zé)任編輯:editor004

作者:小太陽花

2015-10-20 10:56:24

摘自:FreeBuf

即使當(dāng)所有信息都被披露,安卓Root應(yīng)用開發(fā)商還是存在不為人知的一面?!薄 ⊙芯空邔⑾嗤?67個(gè)漏洞利用捆綁放進(jìn)一個(gè)自主研發(fā)的應(yīng)用程序當(dāng)中,檢測(cè)安卓殺毒程序(AV)是否能夠檢測(cè)到。

即使當(dāng)所有信息都被披露,安卓Root應(yīng)用開發(fā)商還是存在不為人知的一面。

ROOT也為漏洞利用打開方便之門

最新研究發(fā)現(xiàn),通過推廣強(qiáng)大的Root利用程序,為數(shù)不多的應(yīng)用程序經(jīng)銷商正在將數(shù)以百萬計(jì)的安卓用戶置于十分危險(xiǎn)的境地。Root程序會(huì)很容易被逆向工程,讓惡意軟件利用漏洞利用工具繞過安卓的重要安全檢測(cè)。

ROOT工具為漏洞利用大開“方便之門”

周四,來自加州河濱分校的研究人員在ACM計(jì)算機(jī)與通信安全會(huì)議上發(fā)表了題為《安卓Root及其供應(yīng)商:一把雙刃劍》的報(bào)告,他們花了一個(gè)月的空閑時(shí)間逆向工程了一個(gè)Root工具包含的167個(gè)漏洞。最終研究者得出結(jié)論,root供應(yīng)商通過提供了大量種類繁多、高度定制的漏洞利用很容易導(dǎo)致逆向工程,并難以檢測(cè),這提升了所有安卓用戶的安全風(fēng)險(xiǎn)。

而在中國,安卓Root非常流行,主流開發(fā)商都參與到了Root工具開發(fā),比如Root精靈、IRoot、360的一鍵Root以及Kingroot等等,這些Root程序幫助安卓用戶不受手機(jī)運(yùn)營商或者制造商的限制。為此,Root供應(yīng)商們針對(duì)運(yùn)行特定版本安卓系統(tǒng)的特定硬件設(shè)備收集大量的漏洞利用。

ROOT工具為漏洞利用大開“方便之門”

  手機(jī)殺毒軟件檢測(cè)結(jié)果

供應(yīng)商的代碼通常包括已知的最先進(jìn)的漏洞利用,例如TowelRoot(又稱futex)、Pingpong Root和Gingerbreak。這些漏洞利用正常情況下都會(huì)被安卓殺毒應(yīng)用程序封鎖。但是由于Root供應(yīng)商進(jìn)行了改進(jìn),這些專業(yè)開發(fā)的漏洞利用便不容易被檢測(cè)到。而更糟的情況是,許多現(xiàn)成的漏洞利用被直接用于攻擊未公開的安卓安全缺陷。

ROOT:一把雙刃劍

來自加州大學(xué)河濱分校的研究者在論文中提出:

“我們發(fā)現(xiàn)他們不僅僅努力融入和整合已知漏洞利用,為保持競爭力同時(shí)還開發(fā)新的利用。然而,這些精致的漏洞利用并沒有得到很好的保護(hù),一旦落入錯(cuò)誤的人手中將會(huì)造成極其危險(xiǎn)的影響。”

研究者將相同的167個(gè)漏洞利用捆綁放進(jìn)一個(gè)自主研發(fā)的應(yīng)用程序當(dāng)中,檢測(cè)安卓殺毒程序(AV)是否能夠檢測(cè)到。每個(gè)利用以三種不同方式暴露于殺毒程序面前——從root供應(yīng)商網(wǎng)站下載的原始exp,一個(gè)直接暴露于AV引擎的脫殼exp,以及惡意軟件經(jīng)常使用的加殼exp。檢測(cè)結(jié)果顯示,四款A(yù)V產(chǎn)品只有來自趨勢(shì)科技的一個(gè)程序檢測(cè)到了exp,其測(cè)試結(jié)果為167中的13個(gè)exp,并且都是脫殼當(dāng)中。

·N:沒有檢測(cè)出威脅 ·檢測(cè)中的所有反病毒軟件都是最新版本

研究人員在報(bào)告中寫道:

“這些反病毒軟件沒有檢測(cè)出任何加殼exp的結(jié)果真令人失望。這可能是由于供應(yīng)商自定義模糊程序,exp沒有被識(shí)別出。然而,即使是脫殼exp,只有趨勢(shì)科技從167個(gè)當(dāng)中識(shí)別出13個(gè)文件標(biāo)記為惡意。值得一提的是,高度危險(xiǎn)的futex利用與PingPong root利用都沒有被任何反病毒軟件抓到。”

其他的AV程序分別來自于Lookout、AVG和賽門鐵克。需要說明一點(diǎn),這份報(bào)告寫于今年5月,測(cè)試中的這些產(chǎn)品可能在這之后進(jìn)行了更新,或許已經(jīng)可以檢測(cè)出全部、或一部分的利用。

即使我們的樂觀推測(cè)為真,報(bào)告中仍然非常強(qiáng)調(diào)root應(yīng)用供應(yīng)商本應(yīng)該充分保護(hù)其包含的可利用漏洞,但在實(shí)際中這些漏洞可以被惡意程序作者輕而易舉的拿來用。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)