请别揣着明白装糊涂--关于360手机助手回应虫洞漏洞“Dimension Door(异次元之门)”的回应

10,632 阅读6分钟

声明:掘金用户在稀土掘金(juejin.cn)上发表的内容仅表明原始文章作者个人的立场和观点,并不代表稀土掘金的立场或观点。


几天前,360手机助手被Google Play下架了:

Screen Shot 2015-11-18 at 12.01.45 AM

这就是说,Google Play认为,360手机助手存在违反规定的行为,比如安全问题,或者不按套路出牌的更新/加载代码等行为。这也意味着,除中国大陆外,安卓机基本不能从官方渠道下载360手机助手。

我们分析了Google Play下架前的版本以及相应的国内版本,进而发现了“DimensionDoor(异次元之门)”,一个和Wormhole危害相当的漏洞。

该漏洞在360手机助手3.4.70(10月15日发布)及以下版本均受影响。在漏洞被发现当天(美国西部时间11月18日晚)只有官网上能下载暂未发现受漏洞影响的3.5.0 beta版本。而直到现在(美西时间11月20日晚8点)360手机助手在部分手机上仍只能自动更新到3.4.70版。(见文后视频)

“异次元之门”漏洞是什么?

  1. 为了实现跨应用通信,360手机助手开启了一个自定制的http服务,该服务会监听手机的38517端口,并且允许远程IP连接
  2. 这个http服务会接受一些通过HTTP GET发送的指令并解析执行,但缺少对发送者的身份验证,因此本质如同一个后门。其中最可能构成安全隐患的指令有两项:

     
    a. 下载远程apk并自动安装,无需任何用户交互(会弹出应用界面)
    b. 通过包名查看某个应用是否已安装

  3. Screen Shot 2015-11-20 at 4.54.59 PM
  4. a功能有对下载域名的白名单判断,但我们发现可以通过360的CDN域名shouji.360tpcdn.com作为下载url并绕过该限制。由于360应用市场(包括雷电手机搜索)使用了此CDN作为分发服务器,因此攻击者可以先将app传到360应用市场,获取下载url,再远程安装到受害者手机。
  5. 可能的安全威胁:
     
    a. 黑客可以把任意app伪装成流行应用或应用更新等有欺骗性的内容,大量扫描同3G/4G网段的IP并且远程自动安装
    b. 黑客可以远程扫描用户手机上的应用安装信息,造成隐私泄露。

本来一个纯技术讨论的事情应该到此为止了。发现这个问题8小时内(美西时间11月17日晚),我们发布了一篇分析报告(
http://blog.trustlook.com/2015/11/18/yet-another-wormhole-vulnerability-meet-the-dimensiondoor/)。指出了漏洞原理,并附带了PoC视频。Trustlook并非针对任何软件厂商,我们只是做了一个安全公司该做的事情,就事论事罢了。
——————————————————————————————————
岂料风云突变。

北京时间11月19日

Freebuf翻译并转载了分析报告(http://www.freebuf.com/vuls/86222.html),并附带360官方回应:

  1. 文中分析的3.1.55是360手机助手2014年的老版本,目前官方正式版和beta版均不存在远程端口安全风险。
  2. 360手机助手的APK下载会弹出助手下载页面,是具有界面交互的正常功能,整个过程用户有明确感知,与百度系产品被利用静默无提示安装任意应用的虫洞漏洞有本质区别。本文演示视频也证明了这一点,“dimensiondoor”的定义不妥。
  3. 文中提到打开任意网页的问题实际是不存在的。360手机助手对打开的url有着严格限制,只能打开360域名的网页。文中根据逆向分析猜测,与真实的产品功能逻辑相差甚远。

对此我们的回应如下(Freebuf并没有发布Trustlook的回应,只发布了360的回应):

  1. 3.1.55是我们经手的第一个样本,并被提及在第一版分析报告中。但绝非只有所谓“2014年版本”有漏洞。3.4.70及以前的版本,都受此漏洞影响。

    具体受影响的用户数未知,考虑到360应用商店上2.5亿、应用宝上1.1亿、豌豆荚1.6亿的下载量,很可能国内受影响用户达到亿级,总量超过Wormhole漏洞。 

  2. “360手机助手的APK下载会弹出助手下载页面,是具有界面交互的正常功能,整个过程用户有明确感知”。一个安全大厂,面对几亿用户和产品漏洞的事实,说出这种话是不负责任的。我相信360一定知道这个http server(simpleHttpServer)是以后台service运行的,就算用户的手机处于待机状态,执行远程安装命令后手机都会远程安装并执行(见视频),待机状态用户根本不会关注到这个过程。另外攻击者也可以把恶意apk伪装成软件更新等有欺骗性的内容,并弹出自动安装。更有趣的是,app在下载栏的名称是可以由攻击者随意修改的。 
  3. 请看以下demo视频:

  4. 浏览器能开启的URL,以及下载安装的URL存在过滤,这些我们都分析到了并非猜测。而我们的分析中也已提及:360自己的CDN域名shouji.360tpcdn.com是在白名单里的。而360应用市场里的应用,都会通过这个域名来分发。所以任何应用只要上传到360应用市场,都可以利用这个漏洞远程安装到手机。 
  5. 360手机助手被Google Play下架前的版本是2.2.012(国内外使用了两套版本计数),也是一个有漏洞的版本,并非360和Freebuf声称的“躺枪”。 

——————————————————————————————————

随即,Freebuf上关于漏洞演示的视频被删掉。Freebuf由于某种不可抗力也不再发布Trustlook的回应与回复。接下来,一些中心思想如“Trustlook一个海外小公司想通过“炒360冷饭”来博取眼球”的公关稿开始散布。

Trustlook并没有任何兴趣来“炒”360的“冷饭”,因为一点都不好吃,我们也不饿,不需要您的赏赐。反倒是坐在“国内安全头把交椅”上的360不惜通过一些渠道来黑我们这么一个小公司,揣着明白装糊涂,实在是不太好看。

最后,我们建议使用360手机助手的用户确保自己已升级到3.5.0或以上版本,你们的安全是我们这支小团队最终的诉求。