真实世界中的漏洞利用

我们谈了如何利用漏洞和漏洞为什么如此严重。现在我们撇开分析，验证一下漏洞到底有多容易被利用。

五月中旬，我们从Play Store随机下载了102,189个免费的app，并通过统计分析发现其中的12.8%存在潜在的漏洞风险，正如上图所示。这些APK同时使用了过低的 目标API版本和addJavascriptInterface API。这些APK调用addJavascriptInterface时的漏洞事实上可以通过中间人攻击的方式利用，当从互联网不安全地下载的javascript脚本时可以发起中间人攻击。

我们会测试通过中间人攻击劫持非安全的javascript下载，并注入一些javascript脚本来探查addJavascriptInterface漏洞。

　　测试app的漏洞

我们设置了一个充当透明web代理中间人的wifi无线接入点(AP)。它被设置为对任何接入此AP的设备在通过HTTP请求任何脚本时都注入恶意 代码。AP设置了密码，以防有人误用，但本方法可以用到公开访问的AP。即使当AP不受控制时，DNS毒化或ARP缓存欺骗等技术也可以用来实现中间人代 理。或者可以安装一个模仿成合法AP的假AP。也就是说，有各种方法实现中间人代理，使用wifi的任何人都将通过我们的代理访问网络。

 

javascript的动态性意味着我们不需要检测特定的应用程序或广告框架程序以作为目标。当运行时，恶意代码扫描整个javascript命名 空间中的对象，查找不正确地使用了addJavascriptInterface API的对象，然后对每个进行漏洞测试。如果没有找到漏洞，它就静悄悄地退出，不影响app的运行。如果成功了，它将运行一个shell命令启动计算器 app(这是漏洞揭露中的一个传统，表明你完成了代码运行——如何你可以启动计算器，你就证明了可以执行任何代码)。

　　注入的 javascript片断

 

我设置好AP后，从13,119个标明有潜在漏洞的app中随机选了一些，把它们安装到接入了AP的一台Nexus 5(运行4.4.3)和一台三星XE700t(运行AOSP 4.2的x86平板)。我们只不过是启动每个App，做些简单的交互操作，就成功地在超过半数的应用中触发了远程代码执行，它们加载了通过中间人代理注入 的恶意代码。

为了好玩，我们把注入到一个app中javascript代码反复修改，直到显示Bromium的标志替换了原有广告。

被扰乱而显示了Bromium标志的app的UI截屏。

　　全是广告惹得祸

通过查看TCP/IP包的轨迹，很快发现广告框架程序就是联合使用了addJavascriptInterface和非安全HTTP下载的罪魁祸 首。在我们调查的框架程序中没有一个使用HTTPS，也就意味着任何使用这些框架程序的app在非安全地下载javascript时也易受到攻击。以往的 研究显示有17%的app虽然使用了HTTPS,但用法不当，但这是另一回事了。

我们认真地检查了一些app，看看使用用了哪些广告框架。AdMob是用得最多的(通常也是更新最频繁的)，但我们发现用到的大量框架仍然在不安全 地使用addJavascriptInterface。在检查的app中，有超过80%的非付费app包含了至少一款广告框架。总体上讲，在识别的 2140个app中出现了4190个广告框架。

　　问题有多严重?

Google在Play Store上公布了所有app的大致下载量。仅就我们手工确认了存在漏洞的小部分用例，就有超过1.5亿的下载量。这并不是说就保证会有150,000,000部有漏洞的设备，因为一台设备可能安装多个不同的有漏洞的应用。但考虑到我们在分析中发现的比例——10%的app有潜在的风险，其中有50%的有风险的app被实地测试可以被攻击——这就存在非常多有漏洞的设备。

而且，别忘了有57%的Android设备运行在低于4.2的版本上。所以即使明天所有有漏洞的app和框架打上了基于4.2的补丁，仍然有超过一半的Android设备不能修复这个漏洞。

一旦你实现了远程代码的执行，结束之前在咖啡店所描述的灾难情形，不是什么大的进步。初始化一个匹配的root权限(不幸的是，相当一部分在安卓平 台上)，一个被损害的设备会变成某种中间人，它随后会进入任何网络。因此，攻击开始传播，举例来说，在自带移动设备的世界里，共同的wifi网络是那样地 受欢迎。

　　合并设备分析器(Device Analyser)的数据

设备分析器(Device Analyser)是另外一个用于统计安卓设备的(数据)来源。其中的一项功能就是它追踪用户启动不同的应用的频繁程度。他们用足够地耐心去相互参照潜在缺陷应用的列表上的数据，给出了下面的结果：

　　每天每用户打开潜在缺陷应用的平均数量

过去一年左右的时间，设备分析器(Device Analyser)的数据显示设备的使用者们每天平均打开0.4-0.5个潜在漏洞的应用。或者换言之，平均一周内就有几次收到(漏洞)攻击。我们不能假 设应用的版本比我们分析过存在漏洞的版本新，因此，当我们的示例数据已不再是最新版本，与图形对应也就表现为急剧下降。如果我们对最近的APK版本重新进 行我们的分析，我们很有可能看到它仍在0.4分。DA( 设备分析器： Device Analyser)的数据是一个相当小的样本，让它去引导更多地关于安卓设备的结论，在整体上是困难的。

　　结论

我们发现,通过使用相对简单的中间人代理技术,无需特定的应用程序或设备可以远程运行有危害的应用程序，即使 Android设备安装了完全补丁。使用静态分析我们发现,相当大比例的应用很可能仍然脆弱,我们证实,通过随机测试超过一半的应用确实缺乏抵抗力。

因此,我们建议当连接到一个不可信的wi-fi无线网络时不要使用任何Android应用程序显示广告。

(责任编辑：安博涛)