G.O.S.S.I.P 阅读推荐 2025-04-24 穿越时间迷雾

时间永远是最难以捉摸的东西，即使在安全研究领域，时间的流逝也会改变安全的假设。今天我们介绍的这篇USENIX Security 2025会议论文Lost in the Mists of Time: Expirations in DNS Footprints of Mobile Apps 就从时光流逝的角度分析了在移动APP中使用的域名信息可能过期导致的安全问题：

我们都知道，今天发生的事大概率不能永续，而今天开发的APP，其中使用的信息有多少可能会在一段时间之后失效呢？本文作者关注了APP中使用的web服务的有效性，特别关注了这些web服务对应的域名是否过期。作者建立了一个包含15124个Android APP的数据集（考虑版本号差异，一共有77206个APK），检查了这些APP中使用的域名是否存在过期情况。

首先让我们来复习一个概念——eTLD+1，大家看一下底下这个图示应该就很清楚，这个eTLD+1差不多就可以理解为某个“站点”（site）的信息（也是在各大域名注册网站上，购买域名的基本单位）。而在本文中，作者就只考虑了eTLD+1信息（并且在文中把它定义为DNS footprint），关注其中存在过期eTLD+1域名的情况。

这个思路看起来似乎不是很复杂，不过收集APP建立数据集可能要考虑如何收集历史数据（Google Play只提供APP的最新版本），于是作者按照如下工作流程来进行APP收集：首先去Google Play下载每个类别中最流行的500个APP，然后去AndroZoo数据集里面寻找对应的APP的历史版本信息。注意，AndroZoo数据集里面只有相关APP的历史版本的hash信息，于是作者想到用这个hash信息去VirusTotal上下载对应的文件（Good idea！），最后就把最新版本和历史版本（作者只关注最近10个历史版本）的APK文件都拿到手了。

接下来要考虑的就是如何从APP里面提取eTLD+1信息，作者定制了一个特定版本的DroidBot，让APP在模拟器里面运行（每个APP运行三次），然后监视APP访问了哪些域名。这里为什么不用静态分析去提取可能的域名信息，作者也没有细说，看起来似乎会遇到域名信息收集不全的问题，不过动态分析就保证了收集到的域名肯定是会访问到的。

分析结果表明，在数据集中的每个APK平均涉及到10.6个不同的域名，其中包含了6.7个eTLD+1域名。除了这些直接收集到的域名（作者在文章中把它们叫做first order footprints），还额外去访问了first order footprints对应的页面上的相关链接（只考虑anchor tags也就是<a>标签）和重定向域名等（作者在文章中把它们叫做second order footprints）。

收集了所有的域名信息之后，就可以分析这些eTLD+1域名中哪些已经过期，哪些快要过期。关于域名注册生命周期这个，大家如果有自己的个人主页，应该会比较熟悉，这里我们就不再赘述了。至于所有APP中到底有多少过期的域名呢？我们来看看结果：分析表明，在所有的APK文件中，有2.0%的APK访问了至少一个过期的first order footprints，而2.5%的APK访问了至少一个过期的second order footprints，如果考虑到不同APK会对应同一个APP的话，这两项指标分别达到了3.3%和4.2%之多。

接下来，作者还对在分析过程中找到的那些过期了并且可以马上被抢注的域名进行了分析（选了32个，下表详细说明了这些域名的各类信息）。分析表明，过期的域名中，最主要的功能是提供Web API，不过倒是有一个过期的广告域名（voodoo-ads.io）一下子就影响了49个APP（对应了111个APK文件）。

为了分析为什么这些域名过期之后没人再维护，作者调查了相关的APP，发现很多域名被废弃的主要原因是对应的APP和SDK都被废弃了。还有一些APP是因为升级了代码，把原代码都更换了，原来代码中的域名也就跟着作废了。

论文的第4.5章是安全研究人员需要重点关注的内容，里面介绍了一系列域名对应的服务，如果域名过期后被其他人抢注，这些服务的安全性会受到严重的威胁，比如这里面有一个tekoiaiot.com，在今天我们这篇笔记发表的时候依然还没有被注册，而对应的APP依然会去访问这个eTLD+1上部署的一系列服务，导致了严重的安全威胁。

论文的第5章中，作者还重点关注了APP在版本升级过程中，是否注意到更新已经过期的域名这个问题。结果表明，有很多APP在升级的时候会忘记把过期的域名信息更新（或者记得去重新注册域名），看来这个域名可能也不是那么重要嘛（狗头）。

最后我们不禁要想到一则旧闻：

2023年10月10日，威马汽车发布官方公告，表示公司因为受多方面因素影响，让公司陷入了经营困难，目前已经申请破产重整。威马汽车申请破产重整引发系列连锁反应。10月11日晚，有威马车主反馈，威马配套软件“威马智行” 和“小威随行”蓝牙钥匙和远程控车功能均无法使用，显示网络异常，疑似后台已停服。目前，威马汽车400客服电话处于无人接听的状态。

所以，不要把什么服务都丢到网络侧，不可靠！

论文：https://johnny.so/publication/so-2025-lost/so-2025-lost.pdf

原文始发于微信公众号（安全研究GoSSIP）：G.O.S.S.I.P 阅读推荐 2025-04-24 穿越时间迷雾