安卓手機(jī)應(yīng)用軟件遠(yuǎn)程代碼執(zhí)行典型漏洞利用方法分析*

陳 忱，邱勇杰，白 冰，葉益林

（智能感知與信息處理實驗室，北京 100094）

0 引言

在智能手機(jī)操作系統(tǒng)領(lǐng)域，隨著諾基亞的塞班系統(tǒng)、微軟的Windows Phone 系統(tǒng)、黑莓的RMI 系統(tǒng)等相繼退出，Android 與iOS 當(dāng)前幾乎已成為全球智能手機(jī)操作系統(tǒng)僅存的兩種類型，其中安卓操作系統(tǒng)更是超過了83%的占比[1]。與之相應(yīng)，安卓應(yīng)用軟件市場Google Play 中包含的軟件數(shù)量在2020 年底已超過300 萬個[2]，并且?guī)缀趺磕暌詳?shù)十萬級的數(shù)量增長。在如此迅猛的增長態(tài)勢下，安卓系統(tǒng)應(yīng)用安全已然成為無法忽視的問題。開放式Web 應(yīng)用程序安全項目（Open Web Application Security Project，OWASP）將安卓系統(tǒng)應(yīng)用程序分為了3 大類，分別為原生應(yīng)用、網(wǎng)頁應(yīng)用與混合應(yīng)用[3]。根據(jù)其權(quán)威統(tǒng)計，其3 類軟件架構(gòu)主要面臨如客戶端注入、敏感信息泄露、不安全的數(shù)據(jù)存儲、錯誤的身份認(rèn)證與授權(quán)管理不充足的傳輸層保護(hù)等10 項安全隱患。本文重點關(guān)注在OWASP 所列舉的安全隱患基礎(chǔ)上，所形成的應(yīng)用軟件遠(yuǎn)程代碼執(zhí)行（Remote Code Execution，RCE）威脅。針對當(dāng)前幾種可形成遠(yuǎn)程代碼執(zhí)行能力的典型安卓應(yīng)用軟件漏洞，分析了其漏洞成因與利用方法。

1 非近源遠(yuǎn)程代碼執(zhí)行漏洞

非近源遠(yuǎn)程代碼執(zhí)行漏洞的含義是攻擊者無需在攻擊目標(biāo)附近便可實施攻擊。此類攻擊在移動終端操作系統(tǒng)中較為常見。諾基亞塞班系統(tǒng)手機(jī)、早期的蘋果iOS 系統(tǒng)手機(jī)與安卓系統(tǒng)手機(jī)，時常會有通過發(fā)送經(jīng)特殊編碼的短信或附帶畸形媒體文件的彩信實現(xiàn)漏洞觸發(fā)，進(jìn)而控制目標(biāo)用戶手機(jī)的報道。雖然上述攻擊的入口點為短信類的應(yīng)用軟件，但通常情況下用于完成實際攻擊功能的漏洞一般存在于基帶驅(qū)動、底層服務(wù)、核心組件等系統(tǒng)級模塊，通過堆棧溢出、釋放后使用（Use After Free，UAF）等二進(jìn)制層面進(jìn)行利用。但近幾年，隨著應(yīng)用軟件所提供的功能愈加豐富，僅存在于應(yīng)用軟件層面的漏洞也同樣可達(dá)到此類效果，以下分別進(jìn)行介紹。

1.1 應(yīng)用軟件Web 接口攻擊

為了方便用戶的使用，安卓系統(tǒng)提供了通過點擊瀏覽器網(wǎng)頁中的鏈接，即可自動調(diào)出某個已安裝應(yīng)用軟件界面的方法。例如，Google 地圖可在用戶點擊網(wǎng)頁版GOOGLE MAP 的相關(guān)功能時，自動切換到Google 地圖的手機(jī)應(yīng)用軟件，無需用戶手動干預(yù)。能夠?qū)崿F(xiàn)此功能主要歸功于安卓操作系統(tǒng)中的Intent 數(shù)據(jù)傳遞與共享機(jī)制。一個Intent 對象可包含用戶希望啟動的程序組件，同時可附帶相應(yīng)的附加信息。如果一個應(yīng)用軟件通過Manifest 文件定義了自身某個Activity 包含BROWSABLE 屬性，那么該Activity 便可以通過點擊網(wǎng)頁鏈接的方式進(jìn)行啟動調(diào)出。因此，此類開發(fā)技術(shù)多應(yīng)用于網(wǎng)頁App 與混合App 中。

通常情況下，可通過Intent 超鏈接調(diào)用的Activity組件利用WebView控件展示一個網(wǎng)頁界面。該界面效果完全由網(wǎng)頁的HTML、CSS、Javascript等腳本代碼渲染生成，而非通過應(yīng)用軟件本地的Java 或Kotlin 代碼實現(xiàn)。這樣做有兩個優(yōu)點：一是應(yīng)用軟件開發(fā)者可給用戶帶來網(wǎng)頁與應(yīng)用無縫銜接的效果；二是界面展示效果實際是在服務(wù)器端完成，開發(fā)者可隨時根據(jù)用戶的應(yīng)用習(xí)慣或使用偏好修改界面展示效果。然而，此功能在方便用戶使用的同時也引入了網(wǎng)頁應(yīng)用注入（Web-to-App Inject）攻擊風(fēng)險。具體說，就是應(yīng)用軟件開發(fā)人員在接收到網(wǎng)頁傳來的URI 數(shù)據(jù)時未考慮進(jìn)行安全過濾，導(dǎo)致執(zhí)行外部傳入的惡意Intent 調(diào)用。它的攻擊原理與SQL 注入、跨站攻擊等情形類似。

通常完成完整的網(wǎng)頁應(yīng)用注入攻擊包含3 個重要步驟：第1 步攻擊者首選通過應(yīng)用軟件逆向分析，確定當(dāng)前軟件是否存在接收URI 類Intent，并利用WebView 控件解析展示網(wǎng)頁的操作，一旦確定則可通過構(gòu)造特殊的超鏈接隱蔽調(diào)用對應(yīng)的Activity界面；第2 步通過Intent 參數(shù)誘導(dǎo)應(yīng)用軟件中的WebView 控件加載攻擊者搭建的服務(wù)器中的網(wǎng)頁；第3 步WebView 控件加載攻擊者網(wǎng)頁后，會加載頁面中的Javascript 代碼，由于攻擊者事先對應(yīng)用軟件進(jìn)行了逆向分析，因此會通過Java 反射機(jī)制得到Runtime 對象，從而可調(diào)用有本地文件訪問權(quán)限的靜態(tài)方法，從而獲取到文件內(nèi)容[4]，最終導(dǎo)致用戶手機(jī)敏感數(shù)據(jù)的泄露。完整流程如圖1 所示。

圖1 網(wǎng)頁應(yīng)用注入攻擊流程

LUO T B 等人的研究中詳細(xì)闡述了通過網(wǎng)頁App 與混合App 實現(xiàn)Web 接口攻擊的方法，并對相關(guān)方法進(jìn)行了威脅模型建模。其中:對網(wǎng)頁類App總結(jié)了沙盒穿透、框架混淆兩種威脅模型；對混合類App 總結(jié)出了JavaScript 代碼植入、Webview 事件劫持等威脅模型[5]。JIN X 等人分析了實現(xiàn)Web接口攻擊可利用外部與內(nèi)部渠道。對于外部渠道，JIN X 列舉了短信、無線射頻識別（Radio Frequency Identification，RFID）標(biāo)簽、二維碼掃描等“手機(jī)專有渠道”，以及圖片、音頻、視頻等包含元數(shù)據(jù)多媒體文件的“元數(shù)據(jù)攻擊渠道”，同時針對真實的應(yīng)用軟件pic2shop，完整實現(xiàn)了通過pic2shop 掃描生成的惡意二維碼隱蔽獲取目標(biāo)手機(jī)定位信息的功能[6]。BEHNAZ H 等人在LUO T B 與JIN X 的研究基礎(chǔ)上，將Web 接口攻擊進(jìn)行了更加細(xì)致的劃分，歸類出如HTML 5 API 接口濫用、本地文件包含、釣魚欺騙、APP 數(shù)據(jù)庫注入以及持久化存儲篡改等多個方面，同時設(shè)計了一種利用污點分析、控制流視圖提煉、符號執(zhí)行等方法檢測應(yīng)用軟件Web 接口攻擊的專用工具[7]。

1.2 社交軟件遠(yuǎn)程執(zhí)行漏洞

在安卓操作系統(tǒng)中，社交軟件通常需要對不同格式的媒體文件進(jìn)行解析，一般包含針對GIF、JPEG、MP4、AVI 以及MP3 等多種不同種類的媒體解析開源共享庫。此類開源庫為保證解析效率，基本以C/C++等原生代碼形式開發(fā)，不可避免會存在堆溢出、釋放后引用等類型的漏洞。一旦攻擊者獲取到此類漏洞的利用方法，便可利用漏洞修復(fù)與補(bǔ)丁下發(fā)期間的窗口期對目標(biāo)手機(jī)實施攻擊。

此類攻擊具體實施時，根據(jù)不同的漏洞載體與所觸發(fā)的對應(yīng)軟件，會在利用細(xì)節(jié)上有各自的區(qū)別，但大體分為如下3 個步驟。第1 步攻擊者需要構(gòu)造出可觸發(fā)目標(biāo)手機(jī)特定軟件漏洞的載體文件，并將此載體文件通過彩信、郵件、社交軟件，甚至釣魚網(wǎng)站的方式發(fā)送到目標(biāo)手機(jī)中。例如，著名的CVE-2019-11932 漏洞，攻擊者可通過任意渠道向安裝有2.19.244 版本W(wǎng)hatsapp 軟件的手機(jī)發(fā)送特殊構(gòu)造的GIF 文件。當(dāng)目標(biāo)用戶保存此圖片并在下次通過Whatsapp 的圖片預(yù)覽控件瀏覽待發(fā)送的圖片時，會自動觸發(fā)漏洞，并執(zhí)行存儲在GIF 文件中的Shellcode 代碼[8]。第2 步漏洞觸發(fā)后執(zhí)行的Shellcode 代碼向攻擊者反彈遠(yuǎn)程Shell，或下載并加載原生庫層的漏洞代碼實現(xiàn)“寄生”于漏洞觸發(fā)軟件內(nèi)的木馬模塊。第3 步則是通過獲取的訪問權(quán)限收集敏感數(shù)據(jù)，并將數(shù)據(jù)上傳到指定服務(wù)器。

圖2 應(yīng)用軟件二進(jìn)制RCE 攻擊流程

1.3 瀏覽器二進(jìn)制遠(yuǎn)程代碼執(zhí)行漏洞

瀏覽器二進(jìn)制遠(yuǎn)程代碼執(zhí)行漏洞的外部攻擊渠道與應(yīng)用軟件Web 接口漏洞類似，均需要攻擊者通過短信、社交軟件、郵件等方式，發(fā)送帶有惡意鏈接的信息，誘導(dǎo)目標(biāo)進(jìn)行點擊，在加載惡意鏈接對應(yīng)網(wǎng)頁的過程中，實現(xiàn)代碼植入執(zhí)行。兩者的不同在于內(nèi)部漏洞的利用方式上，相對于應(yīng)用軟件Web接口漏洞利用，瀏覽器二進(jìn)制遠(yuǎn)程代碼執(zhí)行漏洞利用主要目標(biāo)通過Webview 組件實現(xiàn)沙盒逃逸，從而獲取更高程序執(zhí)行權(quán)限。具體攻擊流程如圖3 所示。

圖3 瀏覽器二進(jìn)制漏洞攻擊利用流程

對于安卓手機(jī)瀏覽器二進(jìn)制類型的漏洞來說，重點是獲取內(nèi)存地址的完整控制能力。一般利用的漏洞為釋放后使用（Use After Free，UAF）、越界地址訪問等類型，此類漏洞的原因一般由“指針懸掛”[9]、整型溢出等問題導(dǎo)致，漏洞的出現(xiàn)位置一般在WebView 組件中。在每年舉辦的各類黑客挑戰(zhàn)比賽、信息安全大會中，相關(guān)漏洞向來是最為引人矚目的一類，表1 對近年來的安卓手機(jī)瀏覽器漏洞進(jìn)行了簡單的統(tǒng)計。

表1 黑客挑戰(zhàn)賽瀏覽器二進(jìn)制漏洞統(tǒng)計

同時，此類漏洞也是各國頂級黑客公司、地下黑產(chǎn)、網(wǎng)絡(luò)武器供應(yīng)商所爭相獲取的一類。在2015年7 月，世界著名的黑客公司HackingTeam 泄露出了415 GB左右的文件資料，包含了大量的內(nèi)部郵件、收據(jù)與網(wǎng)絡(luò)攻擊武器源代碼，其中就存在一個針對安卓4.0-4.3 版本原生瀏覽器的攻擊工具，在目標(biāo)用戶瀏覽惡意網(wǎng)頁時，可完成手機(jī)的ROOT 提權(quán)并自動下載安裝HackingTeam 公司的木馬程序，實現(xiàn)對目標(biāo)手機(jī)的持久化控制[10]。

1.4 非近源遠(yuǎn)程攻擊總結(jié)

本節(jié)針對上述提到的3 種不同類型的應(yīng)用軟件漏洞，在攻擊渠道、具體能力、實現(xiàn)難度等方面進(jìn)行了總結(jié)，具體見表2。

表2 非近源遠(yuǎn)程攻擊總結(jié)

根據(jù)表2 可以看出，基于應(yīng)用軟件Web 接口漏洞的攻擊相對其他兩種漏洞利用的攻擊渠道更廣，且利用難度較低，在現(xiàn)實環(huán)境中普遍存在類似漏洞。

2 近源遠(yuǎn)程代碼執(zhí)行漏洞

近源遠(yuǎn)程代碼執(zhí)行漏洞的含義是攻擊者必須能夠抵近目標(biāo)手機(jī)用戶，與其處于相同的Wi-Fi 網(wǎng)絡(luò)或3G/4G 基站信號覆蓋范圍內(nèi)，通過熱點或基站偽造實現(xiàn)網(wǎng)絡(luò)流量劫持，從而達(dá)到中間人攻擊的效果。由于劫持網(wǎng)絡(luò)流量后可以操控目標(biāo)手機(jī)與網(wǎng)絡(luò)出口間的網(wǎng)絡(luò)數(shù)據(jù)包，因此近源遠(yuǎn)程代碼執(zhí)漏洞一般與軟件升級相關(guān)，攻擊者通過篡改應(yīng)用軟件正常的升級方式觸發(fā)漏洞，從而完成惡意程序的植入。此類漏洞共分為有感知升級漏洞利用和無感知升級漏洞利用兩種類型。

2.1 有感知軟件升級漏洞利用

有感知升級顧名思義是在升級過程中需要與手機(jī)用戶進(jìn)行交互，由用戶選擇是否安裝當(dāng)前的升級版本。此種方式進(jìn)行升級的App 軟件通常會向服務(wù)器發(fā)送JSON 或XML 格式的請求查詢包詢問當(dāng)前是否有更新版本，若存在服務(wù)器會返回新版本的詳細(xì)信息，同時客戶端軟件會彈出升級提示，詢問用戶是否進(jìn)行版本升級。若用戶點擊確定，軟件會從服務(wù)器下載完整的App 更新包，并在下載完成后自動進(jìn)行覆蓋安裝。在實際測試過程中，筆者發(fā)現(xiàn)多款具備一定用戶使用量的App 在與服務(wù)器進(jìn)行交互的過程中，存在有部分流量未使用HTTPS 協(xié)議進(jìn)行傳輸?shù)那闆r，加之在安裝升級包時未進(jìn)行簽名驗證，最終導(dǎo)致攻擊者可通過偽造升級服務(wù)器的方式使目標(biāo)手機(jī)的漏洞軟件主動彈出升級提示。當(dāng)手機(jī)用戶點擊確定升級時，會安裝攻擊者服務(wù)器內(nèi)的惡意應(yīng)用程序。主要流程如圖4 所示。

圖4 有感知升級偽造漏洞利用流程

在圖4 中，攻擊者通過中間人攻擊截獲了目標(biāo)手機(jī)與對應(yīng)互聯(lián)網(wǎng)出口（Wi-Fi 路由器或基站）間的全流量數(shù)據(jù)。由于某存在漏洞的應(yīng)用軟件在升級過程沒有進(jìn)行基于HTTPS 協(xié)議的加密傳輸，攻擊者可以輕易識別出存在于流量中的軟件版本查詢請求（一般為GET 請求）。此時，攻擊者可將此查詢請求過濾掉，并向目標(biāo)手機(jī)發(fā)送偽造的升級包[11]，如圖5 所示。

圖5 偽造升級響應(yīng)數(shù)據(jù)包

圖5 顯示的JSON 響應(yīng)包中：VersionName 代表偽造升級的軟件更新版本；ForceUpdate 參數(shù)為Ture，表示要求用戶強(qiáng)制升級（針對具體的應(yīng)用軟件，有的應(yīng)用軟件不會要求用戶強(qiáng)制升級）；而后面的URL 參數(shù)則指示了升級安裝包的地址，此時已被攻擊者替換成偽造的升級包地址。在目標(biāo)手機(jī)端的漏洞應(yīng)用軟件則會彈出更新提示，一旦用戶選擇更新，則會下載偽造的升級安裝包并自動進(jìn)行安裝。應(yīng)用軟件的升級提示界面，如圖6 所示。

圖6 應(yīng)用軟件升級提示

2.2 無感知軟件升級漏洞利用

無感知軟件升級又稱為軟件“熱補(bǔ)丁”技術(shù)，目前在Android 系統(tǒng)應(yīng)用軟件開發(fā)中已十分普及。該技術(shù)能夠在無需重新安裝軟件的情況下實現(xiàn)更新，幫助應(yīng)用軟件快速建立動態(tài)修復(fù)能力。在整個升級過程中用戶無需像有感升級一樣重新進(jìn)行軟件包安裝，只要上線就能無感知更新，因此應(yīng)用“熱補(bǔ)丁”技術(shù)可節(jié)省Android 系統(tǒng)大量應(yīng)用軟件市場發(fā)布的時間[12]。由于不需要進(jìn)行安裝，更新過程中僅下載的插件化的jar 包或so 動態(tài)連接庫文件即可。在此種情況下，若在程序組件更新的過程中未對插件或動態(tài)鏈接庫文件進(jìn)行認(rèn)證校驗，則可在中間人攻擊的條件下，將jar 插件或so 動態(tài)連接庫文件替換成攻擊者的木馬模塊，實現(xiàn)木馬模塊的加載執(zhí)行。在木馬模塊被加載后會自動繼承漏洞應(yīng)用軟件已申請的權(quán)限，因此無感知軟件升級漏洞通常攻擊的成功率更高。

下面分析筆者測試發(fā)現(xiàn)的某一國內(nèi)知名社交軟件的類似熱補(bǔ)丁的漏洞，每次此社交軟件被用戶啟動后會自動向遠(yuǎn)程服務(wù)器發(fā)送插件熱更新請求：

其中：cmd=51 是命令類型，這里是插件更新請求命令；so_name 參數(shù)是詢問具體插件是否有更新版本。

當(dāng)服務(wù)器接收到請求后會返回響應(yīng)數(shù)據(jù)包：

響應(yīng)數(shù)據(jù)包中包含該次請求結(jié)果版本號（c_so_update_ver）、md5 校驗值（c_so_md5）與新版本so 庫的下載地址（c_so_url）。應(yīng)用軟件提取c_so_url 參數(shù)并將md5 代入校驗，向服務(wù)器請求下載TxxxPlugin_12322.zip，完成下載后會將zip 包放置到本地沙盒目錄/data/data/com.xxxxx.xxx/files 下并解壓，隨后應(yīng)用軟件會將壓縮包內(nèi)的某一so 庫加載。根據(jù)分析流程可知，攻擊者只要替換zip 包中的特定so 庫，通過Java 反射機(jī)制加載調(diào)用安卓系統(tǒng)中GPS、媒體、網(wǎng)絡(luò)等服務(wù)，便可完成木馬模塊的基本功能。

2016 年2 月，著名的CitizenLab 發(fā)現(xiàn)了國內(nèi)安卓系統(tǒng)百度瀏覽器的一枚漏洞。該漏洞產(chǎn)生的主要原因在于百度地圖某個代碼模塊在網(wǎng)絡(luò)傳輸時未經(jīng)過TLS 協(xié)議加密，攻擊可通過中間人方式進(jìn)行流量截獲，同時模塊升級加載時也未進(jìn)行有效的簽名認(rèn)證[13]。

在HYUNWOO C 等人對安卓應(yīng)用軟件實現(xiàn)遠(yuǎn)程代碼植入的研究中，除了上述以代碼包方式升級，解壓后直接進(jìn)行模塊加載的情況外，同時提到了在安卓應(yīng)用軟件資源包（圖片、音視頻等非代碼組件）升級過程中動態(tài)資源更新（Dynamic Resource Update，DRU）。由于軟件開發(fā)者對傳入資源包解壓代碼的文件路徑參數(shù)未進(jìn)行必要的安全檢查過濾（檢測字符串參數(shù)是否包含“../”等非法字符組合），導(dǎo)致攻擊者可利用目錄穿越漏洞實現(xiàn)本應(yīng)用軟件沙盒目錄下任意文件覆蓋。若覆蓋的是.SO 或.JAR等動態(tài)加載模塊文件，則可實現(xiàn)遠(yuǎn)程代碼注入的攻擊[14]，偽代碼如下：

2015 年，國外安全研究人員rotlogix 發(fā)現(xiàn)了國內(nèi)海豚瀏覽器與水星瀏覽器的兩枚目錄穿越漏洞，可實現(xiàn)遠(yuǎn)程代碼植入執(zhí)行[15]。

在Sebastian Poeplau 等人的研究中，分別從Class Loader、Package Context、Native Code、Runtime.exec 等方面深入分析安卓應(yīng)用軟件中所有可實現(xiàn)動態(tài)加載代碼的渠道，同時提出并實現(xiàn)了一種改進(jìn)的Dalvik VM 虛擬機(jī)方案，可以有效阻止針對應(yīng)用軟件非授權(quán)外部代碼、模塊的加載運行[16]。

2.3 近源遠(yuǎn)程攻擊總結(jié)

本節(jié)針對提到的針對安卓應(yīng)用軟件近源遠(yuǎn)程攻擊中有感知與無感知兩種類型，在攻擊渠道、具體能力以及實現(xiàn)難度等方面進(jìn)行總結(jié)，具體見表3。

表3 近源遠(yuǎn)程攻擊總結(jié)

可以看出，有感植入與無感植入的明顯區(qū)別在于：有感植入要完整安裝APK，因此需要讓目標(biāo)用戶手動進(jìn)行權(quán)限授予；無感植入利用應(yīng)用軟件的動態(tài)代碼加載機(jī)制加載木馬so 或jar 包模塊，可直接繼承原應(yīng)用軟件的權(quán)限。

3 結(jié)語

本文從非近源與近源兩個方面，通過闡述不同種類遠(yuǎn)程代碼執(zhí)行（RCE）漏洞產(chǎn)生的原因與基本利用流程，詳細(xì)分析當(dāng)前安卓操作系統(tǒng)應(yīng)用軟件可能存在的相關(guān)威脅，同時在整個分析流程中簡要介紹針對每種威脅國內(nèi)外的研究現(xiàn)狀。通過分析認(rèn)為，隨著安卓操作系統(tǒng)的不斷迭代升級，安全性也在不斷提升，應(yīng)用軟件不應(yīng)成為安卓系統(tǒng)的整個安全防護(hù)體系中的短板。這需要每名應(yīng)用軟件開發(fā)者不斷提升代碼安全防護(hù)意識，具備必要的開發(fā)技能，建立更加安全的安卓系統(tǒng)生態(tài)環(huán)境。