即使当所有信息都被披露,安卓Root应用开发商还是存在不为人知的一面。
ROOT也为漏洞利用打开方便之门
最新研究发现,通过推广强大的Root利用程序,为数不多的应用程序经销商正在将数以百万计的安卓用户置于十分危险的境地。Root程序会很容易被逆向工程,让恶意软件利用漏洞利用工具绕过安卓的重要安全检测。
周四,来自加州河滨分校的研究人员在ACM计算机与通信安全会议上发表了题为《安卓Root及其供应商:一把双刃剑》的报告,他们花了一个月的空闲时间逆向工程了一个Root工具包含的167个漏洞。最终研究者得出结论,root供应商通过提供了大量种类繁多、高度定制的漏洞利用很容易导致逆向工程,并难以检测,这提升了所有安卓用户的安全风险。
而在中国,安卓Root非常流行,主流开发商都参与到了Root工具开发,比如Root精灵、IRoot、360的一键Root以及Kingroot等等,这些Root程序帮助安卓用户不受手机运营商或者制造商的限制。为此,Root供应商们针对运行特定版本安卓系统的特定硬件设备收集大量的漏洞利用。
手机杀毒软件检测结果
供应商的代码通常包括已知的最先进的漏洞利用,例如TowelRoot(又称futex)、Pingpong Root和Gingerbreak。这些漏洞利用正常情况下都会被安卓杀毒应用程序封锁。但是由于Root供应商进行了改进,这些专业开发的漏洞利用便不容易被检测到。而更糟的情况是,许多现成的漏洞利用被直接用于攻击未公开的安卓安全缺陷。
ROOT:一把双刃剑
来自加州大学河滨分校的研究者在论文中提出:
“我们发现他们不仅仅努力融入和整合已知漏洞利用,为保持竞争力同时还开发新的利用。然而,这些精致的漏洞利用并没有得到很好的保护,一旦落入错误的人手中将会造成极其危险的影响。”
研究者将相同的167个漏洞利用捆绑放进一个自主研发的应用程序当中,检测安卓杀毒程序(AV)是否能够检测到。每个利用以三种不同方式暴露于杀毒程序面前——从root供应商网站下载的原始exp,一个直接暴露于AV引擎的脱壳exp,以及恶意软件经常使用的加壳exp。检测结果显示,四款AV产品只有来自趋势科技的一个程序检测到了exp,其测试结果为167中的13个exp,并且都是脱壳当中。
·N:没有检测出威胁 ·检测中的所有反病毒软件都是最新版本
研究人员在报告中写道:
“这些反病毒软件没有检测出任何加壳exp的结果真令人失望。这可能是由于供应商自定义模糊程序,exp没有被识别出。然而,即使是脱壳exp,只有趋势科技从167个当中识别出13个文件标记为恶意。值得一提的是,高度危险的futex利用与PingPong root利用都没有被任何反病毒软件抓到。”
其他的AV程序分别来自于Lookout、AVG和赛门铁克。需要说明一点,这份报告写于今年5月,测试中的这些产品可能在这之后进行了更新,或许已经可以检测出全部、或一部分的利用。
即使我们的乐观推测为真,报告中仍然非常强调root应用供应商本应该充分保护其包含的可利用漏洞,但在实际中这些漏洞可以被恶意程序作者轻而易举的拿来用。