这个月初,百度被爆出旗下全系 App 及 moplus SDK 均存在漏洞,可被远程控制执行代码。该漏洞由白帽子@瘦蛟舞 @蒸米 发现,命名为 WormHole 虫洞。趋势科技分析漏洞后发布了一篇报告,认为虫洞不止是简单的安全缺陷(security bug),还具备后门功能(backdoor functionalities)。
厂商会做后门吗?什么样的行为可以称作后门?在虫洞漏洞曝光后,有两位安全研究员进行了一段非常有代表性的对立观点讨论。其中一位是漏洞分析报告作者、趋势科技移动安全研究员seven shen,另一位不愿具名。乌云安全中心经授权将这段对话整理成文。
漏洞会随着时间流逝而过时,但观点不会。希望这段话能对大家有所裨益。
前情回顾
@seven shen
如果你们以为那只是百度的漏洞,那就太看得起百度了。在此提醒广大安卓用户,无条件卸载所有受影响百度及其附属公司app,是确保你不被任何人远控的唯一选择。
关于虫洞,有两点明确一下:
-
第一,我们不认为这仅仅是漏洞,我们认为这本质是恶意的后门病毒,问题的本质并不是谁控制端口,而在于为什么要植入这些与APP功能无关的恶意代码,并且支持远程控制;
-
第二,我们已经发现利用此后门恶意静默安装软件的样本。基于此,我们决定立刻公布我们的发现且会持续关注。
恶意样本“奇闻异录”暂时还活跃在于百度手机助手市场,在测试的过程中我们发现该样本自动下载分批静默安装了Ad插件及多个推广程序。但由于远程控制的灵活性,不保证一定能重现。
是否是后门我想厂商肯定不会直接承认,我们只需要百度回答为何在那么多的app里集成如此多的与许多app本身性质无关的这些aggresive功能即可,相信大众会有一个合适的理解。
而且对于这些功能,他们目前在最新百度地图上的处理是,选择性删除! 这需要一个解释!
论证Moplus SDK是后门的另一个根据是百度在其后的FIX中把导致DEMO成功的代码选择删除,这并非漏洞修复的一般性方法。如果是无意为之,一般是全部删除,或者保留代码添加权限认证即可。我们无法猜透开发者的根本意图,我们只能基于现有事实做合理性判断。这世界本是如此。
不同的角度造就不同的观点。作为安全研究员,如果你想把所有幕后的事情都弄得十分清楚分毫不差的话,那你首先得是个警察,而且是高级别的,因为你得有权限。
正如我在twitter所说,判断一个应用是恶意的还是善意但有缺陷的,应该是看应用本身是否违法相关准则,而不是开发者自身的动机。Moplus这么多强大的远程静默控制功能,我们认为其本身就已经违反了软件安全准则。
你的观点我个人并不完全认同,但欢迎保持交流。
@路人甲
漏洞还是后门,主要的区别可能在于厂商是否有此主观意图、在于相关功能是否有意被设计成以专门攻击为目的,所以要论证一个漏洞是后门其实并不容易。像CoolReaper那样在后门代码里大大方方地自称backdoor的厂商实在不多见。
(问:为什么提CoolReaper呢?百度的事和CoolReaper有关系?)
声明下,没啥关系,只是一时就想到这一个例子,也是我唯一一次有把握是后门的。就连ZTE那次magic string提权,我都觉得更可能只是留下的调试接口,而很难论证是主观故意用于攻击的。
(问:CoolReaper那个就是厂商参与的应用推送灰色利益链,应该也算不上攻击吧)
个人认为,后门与否,在于是否主观故意,而不在于真实攻击是否已经展开(意思是,是否打算用于攻击,而非是否已经攻击)。在那个app里,其他大量恶意功能都已经实现,对应的后台也完成了指令下发功能,只差最后点个鼠标了。
具体到这份报告,我的看法是,其中并不包含足够有力的证据来证明那个漏洞是有意而为的,也就不足以说是后门或病毒。
后记
这段对话发生在漏洞曝光后的第二天,整理对话的时候虫洞漏洞已经不再有人讨论——这也是我预期的效果,大家不应把目光都聚焦在某个事件上,而应该多想想背后的一些东西。不过这件事现在厂商也没给个修复状况的结果,也是挺无语。
我联系seven shen和路人甲时,他们讲了一些新的点,包括百度曾为虫洞的远程调用机制注册了专利、另一家国内一线互联网公司的产品也有类似漏洞。
seven shen希望补充一段话,我放在下边:
我看到有一些观点和文章仔细分析了Moplus的调用方法,推测说这是百度统计功能正常性调用的合理需求,且部分观点也为远程静默添加通讯录等相关极具侵略性的功能从正面功效角度作了一些辩护。
我的观点是,样本分析要就事论事,问题的本质在于SDK中的侵略性功能已经远远超过了多数集成此SDK的APP的正常功能需求,而不在于远程是如何使用这段代码。作为第三者,如果你没有能够完全确定隐藏在后端的调用代码,你就不能只是从正面角度解释你所看到的问题。并且,我们文中所指出的恶意样本,经过我们仔细分析,Moplus是唯一的可导致手机被远程安装应用的可能,并且这种可能来源于第三方攻击者测试的概率极低。我们所有的分析都是基于我们所看到的事实作合理的推断,而不是基于作者的动机。你永远无法完全猜透一个人的动机。
另外再补充一下,根据我们对大量集成moplus的APP的分析,目前为止没有发现一例明确有相关EULA告知用户有关这几项侵略性功能的声明,包括百度自身的APP,也就是说,所有的这些非常侵略性的代码的调用,用户可以完全毫不知情。这本身已经超越了一般性软件安全的范畴。
考虑到严谨性,还有一点我要说一下:我们文章中说的恶意样本攻击样例,我们只是确定moplus是唯一的攻击渠道,至于是谁发起了这次攻击,也不能简单归结为SDK开发者,APP开发者也有这个嫌疑。因为无法重现。
WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台。
微信内限制外链,点击下方“阅读原文”可查看完整版本
本文始发于微信公众号(乌云漏洞报告平台):论厂商后门:动机更重要?还是行为更重要?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论